WikiLeaks публикува нова информация за инструменти на ЦРУ за кражба на SSH данни за вписване

0
16
“Astaroth” malware Windows


От WikiLeaks публикуваха поредната информация за инструменти на ЦРУ, които те използват, за да проникват в компютри. Този път информацията е за два малуера – за Windows и Linux.

В публикуваните данни WikiLeaks съобщават за два малуера от типа implant – BothanSpy и Gyrfalcon, които се използват за кражба на данни за вписване при SSH за Windows и Linux.

Това става малко след като те съобщиха за друг инструмент за атакуване на Linux машини OutlawCountry, който обаче има толкова много изисквания, че възможността да се пробие Linux машина с него клони към нула.

BothanSpy е инструментът за Windows, който атакува Xshell SSH клиента и бива инсталиран като Shellterm 3.x разширение на машината на жертвата.

Потребителското име и паролите биват откраднати за всички сесии и използвайки Fire and Collect (F&C) канала, BothanSpy изважда данните от компютъра. За да бъде използван BothanSpy обаче, преди това трябва да бъде стартиран F&C манипулатор.

BothanSpy също така може да работи и във Fire and Forget (F&F) режим. В този режим се създават файлове на машината, които съдържат данните за вписване, преминали през Xshell, като са криптирани с AES-256.

Повече детайли относно BothanSpy можете да намерите в този документ.

За Linux от ЦРУ използват Gyrfalcon 2.0 малуера, чиято цел са OpenSSH клиентите на Linux-базирани операционни системи като Ubuntu, Debian, RHEL/CentOS, openSUSE и пр.

Gyrfalcon е библиотека, която бива заредена в пространството за обработка на пароли и краде данните за вписване за всички SSH сесии, а освен това може да краде и техния трафик. Gyrfalcon също така съдържа приложение, което комуникира с библиотеките, посредством SYSV опашката от съобщения.

Този малуер компресира, криптира и запазва събраната информация във файл, който се пази на файловата система на машината под прицел. Gyrfalcon е способен да събира напълно или частично OpenSSH трафика от сесиите, включително и потребителските имена и паролите на OpenSSH потребителите.

Прочетете още:  Linux драйвърът NVIDIA 440.31 е тук и носи със себе си интересни подобрения

Събраните данни се трансферират компресирани и криптирани с приложение от трета страна, което осъществява комуникацията между Linux машината и порт оставен на подслушване.

В изтеклото ръководство се обяснява, че атакуващият, който използва Gyrfalcon, трябва да има много добри познания по Linux/UNIX системи, sh, shell, bash.

Той също така трябва да може да познава стандартните процедури по маскиране на дейностите на Gyrfalcon в различни шелове, както и да е запознат с JQC/KitV рууткита, от който е част Gyrfalcon и дълбоки познания в областта на правата и привилегиите на администраторския акаунт при Linux.

Библиотеката и допълнителното приложение обаче изискват администраторски права, за да бъдат инсталирани. След това за тяхното стартиране и изпълнение такива права не са необходими.

Както при OutlawCountry Gyrfalcon също има нужда от определени условия, за да може да бъде използван, но тук изискванията са за машината на атакуващия, а не на жертвата.

Двата Python скрипта трябва да се намират на компютъра на атакуващия, а самите скриптове имат изискване за Python 2.6 или по-нова версия, SWIG, предпочитания за x64-битова система, но работи и на x86 и M2Crypto, като при липсата на тези пакети са дадени и линкове за тяхното сваляне или операторът бива съветван да използва пакетите от официалните хранилища на дистрибуцията, която използва.

Като условие за инсталацията на Gyrfalcon се поставя да е инсталиран в директория, която е достъпна за OpenSSH.

След това атакуващият трябва да инсталира подходящите според архитектурата на атакувания компютър скриптове, след което следва дълга процедура от стъпки, които можете да проследите в предоставения от WikiLeaks файл.

0/5 (0 Reviews)
Абониране
Извести ме за
guest
0 Comments
Inline Feedbacks
View all comments