WikiLeaks: BothanSpy e Gyrfalcon usati per spiare le sessioni SSH

0

Recentemente WikiLeaks sta pubblicando diversi documenti riguardanti alcuni tool utilizzati dalla CIA per l’hacking e lo spionaggio e, cosa molto interessante, molti di questi si stanno rivelando essere destinati a prendere di mira macchine Linux.

Ad inizio mese WikiLeaks ha parlato di OutlawCountry, un malware sotto forma di modulo per il kernel, che crea una netfilter table invisibile che a sua volta permette di creare regole per iptables in modo da modificare e redirigere il traffico di rete.

Adesso due nuove minacce puntano alle sessioni SSH: BothanSpy per quanto riguarda i client Windows e Gyrfalcon per le Linux.

BothanSpy “infetta” i client SSH di Xshell (installandosi come un’estensione Shellterm 3.x) ed è in  grado di sottrarre le credenziali della sessione SSH attiva su una macchina Windows. BothanSpy non sottrae solo username e password, ma anche le chiavi SSH scambiate tra i client. Questo tool può lavorare anche in modalità Fire and Forget (F&F) che crea sulla macchina dei file contenenti le credenziali e criptate con AES-256.

Gyrfalcon colpisce invece OpenSSH su Linux (per l’esattezza CentOS, RHEL, Debian, Ubuntu e Suse) che, a differenza di BothanSpy su Windows, riesce anche a raccogliere i dati della sessione per poi comprimerli, criptarli e salvarli su disco. I dati vengono poi recuperati da un’applicazione di terze parti che provvede ad inviare i file a chi “di competenza”. Gyrfalcon viene installato tramite un rootkit (JQC/KitV) sviluppato dalla CIA.

Tutti questi tool fanno parte di Vault 7, una pubblicazione di una serie di leaks riguardanti la Central Intellingence Agency, iniziata il 7 marzo 2017, la più grande mai pubblicata finora.

Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.