7 lip 2017

Gyrfalcon i BothanSpy - implanty CIA do wykradania poświadczeń SSH

0


W dniu wczorajszym, tj. 06.07.2017 r. portal WikiLeaks opublikował kolejną, piętnastą już serię wycieku oznaczonego jako Vault 7, prezentując materiały z 2013 i 2015 roku dotyczące dwóch narzędzi (implantów) CIA, które umożliwiają tej amerykańskiej agencji skuteczne przechwytywanie poświadczeń SSH (Secure Shell) - sieciowy protokół kryptograficzny używany do zdalnego logowania przez niezabezpieczoną sieć. CIA wykorzystuje różne wektory ataków, a docelowymi systemami operacyjnymi są te z rodziny Windows oraz Linux.

Opracowane przez jedną z komórek CIA konfigurowalne narzędzia noszą nazwy: BothanSpy jako implant dla klienta Xshell działającego pod kontrolą Windows oraz Gyrfalcon, obierający za cel OpenSSH na różne dystrybucje systemów operacyjnych Linux, w tym CentOS, Debian, RHEL (Red Hat), openSUSE i Ubuntu. Oba implanty kradną poświadczenia użytkownika dla wszystkich aktywnych sesji SSH, a następnie wysyłają je do serwera kontrolowanego przez CIA.

BothanSpy instaluje się jako rozszerzenie Shellterm 3.x  i prawidłowo funkcjonuje tylko wtedy, gdy Xshell działa na komputerze z aktywnymi sesjami. Gyrfalcon natomiast to implant składający się z trzech plików (w tym skryptu wykonywalnego oraz konfigurowalnego pakietu Python o nazwie eyrie.pyz). Gyrfalcon może nie tylko kraść poświadczenia aktywnych sesji SSH, ale także jest w stanie zebrać pełny lub częściowy ruch sesji OpenSSH:

Przykładowy plik z przechwyconymi danymi SSH zwierającymi hasła.
Liczby 15154 oraz 15156 to numery sesji.

(źródło: https://wikileaks.org)
Wszystkie zebrane przez Gyrfalcona informacje są przechowywane w zaszyfrowanym pliku do późniejszej analizy. Do prawidłowego działania wymaga systemu Linux z wersją jądra co najmniej 2.6.14 i biblioteki glibc 2.5 lub wyższej. Po użyciu odpowiednich poleceń Python, przechwycony plik staje się czytelniejszy:
Uporządkowane przechwycone dane SSH zwierające hasło klucza prywatnego. 
(źródło: https://wikileaks.org)


Gyrfalcon does not provide any communication services between the local operator computer and target platform. The operator must use a third-party application to upload these three files to the target platform.
 
Pakiet eyrie.pyz oprócz konfiguracji narzędzia Gyrfalcon umożliwia także deszyfrowanie i dekompresję pliku w którym Gyrfalcon zebrał dane z sesji SSH. Plik z zebranymi przez Gyrfalcon danymi posiada nazwę w formacie takim jak: collect.bin.20121202_135960.

Warto dodać, że oba implanty są instalowane i konfigurowane na maszynie docelowej przy użyciu specjalnego rootkita opracowanego przez CIA (JQC / KitV).

Dokumentacja narzędzia BothanSpy:

Dokumentacja narzędzia Gyrfalcon:

Źródło:
https://wikileaks.org/vault7/#BothanSpy

0 komentarze:

Publikowanie komentarza

 
Do korespondencji zalecamy nasz klucz PGP.
Design by ThemeShift