От WikiLeaks публикуваха поредната информация за инструменти на ЦРУ, които те използват, за да проникват в компютри. Този път информацията е за два малуера – за Windows и Linux.
В публикуваните данни WikiLeaks съобщават за два малуера от типа implant – BothanSpy и Gyrfalcon, които се използват за кражба на данни за вписване при SSH за Windows и Linux.
Това става малко след като те съобщиха за друг инструмент за атакуване на Linux машини OutlawCountry, който обаче има толкова много изисквания, че възможността да се пробие Linux машина с него клони към нула.
BothanSpy е инструментът за Windows, който атакува Xshell SSH клиента и бива инсталиран като Shellterm 3.x разширение на машината на жертвата.
Потребителското име и паролите биват откраднати за всички сесии и използвайки Fire and Collect (F&C) канала, BothanSpy изважда данните от компютъра. За да бъде използван BothanSpy обаче, преди това трябва да бъде стартиран F&C манипулатор.
BothanSpy също така може да работи и във Fire and Forget (F&F) режим. В този режим се създават файлове на машината, които съдържат данните за вписване, преминали през Xshell, като са криптирани с AES-256.
Повече детайли относно BothanSpy можете да намерите в този документ.
За Linux от ЦРУ използват Gyrfalcon 2.0 малуера, чиято цел са OpenSSH клиентите на Linux-базирани операционни системи като Ubuntu, Debian, RHEL/CentOS, openSUSE и пр.
Gyrfalcon е библиотека, която бива заредена в пространството за обработка на пароли и краде данните за вписване за всички SSH сесии, а освен това може да краде и техния трафик. Gyrfalcon също така съдържа приложение, което комуникира с библиотеките, посредством SYSV опашката от съобщения.
Този малуер компресира, криптира и запазва събраната информация във файл, който се пази на файловата система на машината под прицел. Gyrfalcon е способен да събира напълно или частично OpenSSH трафика от сесиите, включително и потребителските имена и паролите на OpenSSH потребителите.
Събраните данни се трансферират компресирани и криптирани с приложение от трета страна, което осъществява комуникацията между Linux машината и порт оставен на подслушване.
В изтеклото ръководство се обяснява, че атакуващият, който използва Gyrfalcon, трябва да има много добри познания по Linux/UNIX системи, sh, shell, bash.
Той също така трябва да може да познава стандартните процедури по маскиране на дейностите на Gyrfalcon в различни шелове, както и да е запознат с JQC/KitV рууткита, от който е част Gyrfalcon и дълбоки познания в областта на правата и привилегиите на администраторския акаунт при Linux.
Библиотеката и допълнителното приложение обаче изискват администраторски права, за да бъдат инсталирани. След това за тяхното стартиране и изпълнение такива права не са необходими.
Както при OutlawCountry Gyrfalcon също има нужда от определени условия, за да може да бъде използван, но тук изискванията са за машината на атакуващия, а не на жертвата.
Двата Python скрипта трябва да се намират на компютъра на атакуващия, а самите скриптове имат изискване за Python 2.6 или по-нова версия, SWIG, предпочитания за x64-битова система, но работи и на x86 и M2Crypto, като при липсата на тези пакети са дадени и линкове за тяхното сваляне или операторът бива съветван да използва пакетите от официалните хранилища на дистрибуцията, която използва.
Като условие за инсталацията на Gyrfalcon се поставя да е инсталиран в директория, която е достъпна за OpenSSH.
След това атакуващият трябва да инсталира подходящите според архитектурата на атакувания компютър скриптове, след което следва дълга процедура от стъпки, които можете да проследите в предоставения от WikiLeaks файл.