BothanSpy e Gyrfalcon são os nomes das últimas ferramentas de hacking da CIA descobertos pelo WikiLeaks e o despejo Vault7 já lendário. As ferramentas são, na verdade, implantes projetados para roubar credenciais SSH de dois sistemas operacionais - Windows e Linux.
A organização sem fins lucrativos lançou um novo lote de documentos mostrando em detalhes dois novos implantes CIA desenvolvidos para interceptar e exfiltrar credenciais SSH do Windows e Linux por meio de diferentes métodos de ataque. As ferramentas podem roubar credenciais do usuário para todas as sessões SSH ativas e, em seguida, enviá-las de volta para a CIA.
Implante BothanSpy Spy para Windows - Detalhes
BothanSpy foi criado para direcionar o Windows, mais especificamente o cliente Microsoft Windows Xshell. Ele é instalado como uma extensão Shellterm 3.x no sistema de destino e pode ser explorado apenas quando o Xshell está sendo executado com sessões ativas.
O que é Xshell? Um emulador de terminal compatível com SSH, SFTP, TELNET, RLOGIN, e protocolos SERIAL para distribuição de recursos importantes, como um ambiente com guias, encaminhamento de porta dinâmico, mapeamento de teclas personalizado, etc.
o vazou o manual do usuário esclarece que o BothanSpy só funciona com o Xshell em execução na máquina de destino com sessões ativas. Em qualquer outro caso, o implante não armazenará credenciais no local pesquisado.
Outras especificações para usar a ferramenta são:
Para usar o BothanSpy em destinos que executam uma versão x64 do Windows, o carregador que está sendo usado deve suportar injeção Wow64. Xshell só vem como um binário x86, e, portanto, BothanSpy só é compilado como x86. Shellterm 3.0+ suporta injeção Wow64, e Shellterm é altamente recomendado.
Implante Gyrfalcon Spy - Detalhes
Como mencionado, Gyrfalcon foi criado para atingir especificamente o cliente OpenSSH em várias distribuições Linux, como CentOS, Debian, RHEL (chapéu vermelho), openSUSE e Ubuntu.
O implante Linux funciona em ambos 32- e sistemas de 64-bit, e junto com ele, a CIA usa um malware personalizado conhecido como rootkit JQC / KitV. Ele dá acesso persistente a sistemas comprometidos.
O Gyrfalcon é capaz de coletar o tráfego total ou parcial da sessão OpenSSH. Ele também mantém as informações adquiridas em um arquivo criptografado local que é exfiltrado em um estágio posterior.
Conforme declarado no manual do usuário que vazou:
Gyrfalcon é uma ferramenta de "compartilhamento" de sessão SSH que opera em sessões OpenSSH de saída do host de destino no qual é executado. Ele pode registrar sessões SSH (incluindo credenciais de login), bem como executar comandos em nome do usuário legítimo no host remoto.
A ferramenta funciona automaticamente. É configurado com antecedência, executado no host remoto e deixado em execução, o manual lê. O operador retorna mais tarde e comanda o Gyrfalcon para descarregar toda a sua coleção para o disco. O operador então recupera o arquivo, descriptografa, e analisa tudo o que foi coletado.
Há também uma segunda versão do Gyrfalcon que também foi publicada. A ferramenta consiste em dois binários compilados que devem ser enviados para o sistema de destino.
Curiosamente, Gyrfalcon não foi projetado para fornecer serviços de comunicação entre o computador do operador local e a plataforma de destino. O operador deve usar um aplicativo de terceiros para fazer o upload desses três arquivos para a plataforma de destino, como disse o manual.