Wikileaks odhalilo SSH implantáty z dielne CIA

Wikileaks uvoľnilo už 15 balík údajov z prebiehajúceho Vault 7 úniku a pre tento raz sa o dva údajné nástroje z dielne CIA, ktoré agentúre povoľujú odpočúvať alebo preniknúť do SSH (Secure Shell) získaním oprávnení z operačných systémov Windows a Linux za použitia rôznych útočných smerov.

SSH alebo Secure Shell je šifrovací sieťový protokol používaný na bezpečné a vzdialené prihlásenie do počítačov a serverov v nezabezpečenej sieti.

BothanSpy je je implantát pre Microsoft Windows Xshell klienta a Gyrfalcon útočí na OpenSSH klienta na rôznych Linuxových distribúciách ako sú CentOS, Debian, RHEL, openSUSE a Ubuntu.

Obidva implantáty slúžia na kradnutie používateľských prihlasovacích údajov pre všetky aktívne SSH relácie a následné odoslanie na server kontrolovaný CIA.

BothanSpy

Na cieľovú mašinu je inštalovaný ako Shelltetm3.x rozšírenie a funguje iba za podmienky, že je spustený Xshell, ktorý má spustené relácie (aktívne pripojenia). Xshell je veľmi robustný terminál s podporou protokolov SSH, SFTP, TELNET, RLOGIN a SERIAL, ktorý prináša aj ďalšie funkcie ako je dynamické presmerovanie portov, VB skripty a pod.

Ak chcete BothanSpy použiť na 64-bitovej verzii Windowsu, zavádzač musí podporovať Wow64 injection.

Xshell je dostupný ako X86 (32-bit) súbor a preto je BothanSpy kompilovaný ako x86. Shellterm 3.0+ podporuje Wow64 injection a Shellterm je vysoko odporúčaný.

Gyrfalcon

Útočí na Linuxové systémy (32 alebo 64-bit kernel) za použitia rootkitu vytvoreným CIA s názvom JQC/KitV pre trvalý prístup. Gyrflacon je schopný zbierať všetky alebo len čiastočné údaje z OpenSSH relácie a ukradnuté informácie ukladá do šifrovaných súborov pre neskoršie vyzdvihnutie.

Vo verzii Gyrflacon 1.0 sa všetko deje automaticky a operátor (CIA) sa za nejaký čas vráti, vyzdvihne si údajem ktoré následne rozšifruje a zanalyzuje.

V manuály k verzii 2.0 je uvedené, že implantát sa skladá z dvoch súborov, ktoré by mali byť nahraté na cieľovú platformu spolu so zašifrovaným konfiguračným súborom.

Gyrfalcon neposkytuje žiadne komunikačné služby medzi počítačom operátora a cieľovou platformou. Operátor musí použiť aplikácie tretej strany, aby mohol tieto tri súbory nahrať na cieľovú platformu.