ЦРУ похищает учетные данные SSH с помощью инструментов BothanSpy и Gyrfalcon
В марте 2017 года Wikileaks начала публикацию дампа под кодовым названием Vault 7, содержащего подробности работы Центрального разведывательного управления (ЦРУ) США. Бумаги, описывающие самые разные хакерские инструменты и техники правительства, были переданы в распоряжение ресурса неизвестным информатором.
На этот раз Wikileaks обнародовала документы, рассказывающие о работе инструментов BothanSpy и Gyrfalcon, предназначенных для хищения учетных данных SSH и прослушивания трафика.
BothanSpy предназначен для компьютеров с Windows на борту. Согласно датированной 2015 годом инструкции на 12 страницах, BothanSpy – это имплант, который устанавливается как расширение Shellterm 3.x и «цепляется» к Xshell, после чего похищает учетные данные для всех активных сессий SSH. Украденные данные могут быть сразу переправлены на удаленный сервер, или могут сохраняться на жестком диске в зашифрованном виде.
Gyrfalcon – аналогичный имплант, но предназначенный для Linux-систем (RHEL, Ubuntu, openSuse, Debian, CentOS). Инструкция для него начитывает уже 27 страниц и она датирована 2013 годом. Gryfalcon атакует клиент OpenSSH, при помощи которого, равно как и BothanSpy, извлекает учетные данные SSH, а также полностью или частично перехватывает трафик OpenSSH сессий. Украденная информация сохраняется на жестком диске в виде зашифрованного файла, где и ожидает последующего извлечения.
Для установки Gryfalcon специалисту ЦРУ потребуются root-привилегии, но после этого инструмент может работать и с обычными правами. Также в инструкции рекомендуется использовать Gryfalcon с руткитом JQC/KitV из арсенала ЦРУ, при помощи которого осуществляется установка и настойка малвари, а также ее «укрепление» в системе.