News Ticker

WikiLeaks: BothanSpy e Gyrfalcon usati per spiare le sessioni SSH

Recentemente WikiLeaks sta pubblicando diversi documenti riguardanti alcuni tool utilizzati dalla CIA per l'hacking e lo spionaggio e, cosa molto interessante, molti di questi si stanno rivelando essere destinati a prendere di mira macchine Linux.

Ad inizio mese WikiLeaks ha parlato di OutlawCountry, un malware sotto forma di modulo per il kernel, che crea una netfilter table invisibile che a sua volta permette di creare regole per iptables in modo da modificare e redirigere il traffico di rete.

Adesso due nuove minacce puntano alle sessioni SSH: BothanSpy per quanto riguarda i client Windows e Gyrfalcon per le Linux.

BothanSpy "infetta" i client SSH di Xshell (installandosi come un'estensione Shellterm 3.x) ed è in  grado di sottrarre le credenziali della sessione SSH attiva su una macchina Windows. BothanSpy non sottrae solo username e password, ma anche le chiavi SSH scambiate tra i client. Questo tool può lavorare anche in modalità Fire and Forget (F&F) che crea sulla macchina dei file contenenti le credenziali e criptate con AES-256.

Gyrfalcon colpisce invece OpenSSH su Linux (per l'esattezza CentOS, RHEL, Debian, Ubuntu e Suse) che, a differenza di BothanSpy su Windows, riesce anche a raccogliere i dati della sessione per poi comprimerli, criptarli e salvarli su disco. I dati vengono poi recuperati da un'applicazione di terze parti che provvede ad inviare i file a chi "di competenza". Gyrfalcon viene installato tramite un rootkit (JQC/KitV) sviluppato dalla CIA.

Tutti questi tool fanno parte di Vault 7, una pubblicazione di una serie di leaks riguardanti la Central Intellingence Agency, iniziata il 7 marzo 2017, la più grande mai pubblicata finora.