W dniu wczorajszym, tj. 06.07.2017 r. portal WikiLeaks opublikował kolejną, piętnastą już serię wycieku oznaczonego jako Vault 7, prezentując materiały z 2013 i 2015 roku dotyczące dwóch narzędzi (implantów) CIA, które umożliwiają tej amerykańskiej agencji skuteczne przechwytywanie poświadczeń SSH (Secure Shell) - sieciowy protokół kryptograficzny używany do zdalnego logowania przez niezabezpieczoną sieć. CIA wykorzystuje różne wektory ataków, a docelowymi systemami operacyjnymi są te z rodziny Windows oraz Linux.
Opracowane przez jedną z komórek CIA konfigurowalne narzędzia noszą nazwy: BothanSpy jako implant dla klienta Xshell działającego pod kontrolą Windows oraz Gyrfalcon, obierający za cel OpenSSH na różne dystrybucje systemów operacyjnych Linux, w tym CentOS, Debian, RHEL (Red Hat), openSUSE i Ubuntu. Oba implanty kradną poświadczenia użytkownika dla wszystkich aktywnych sesji SSH, a następnie wysyłają je do serwera kontrolowanego przez CIA.
BothanSpy instaluje się jako rozszerzenie Shellterm 3.x i prawidłowo funkcjonuje tylko wtedy, gdy Xshell działa na komputerze z aktywnymi sesjami. Gyrfalcon natomiast to implant składający się z trzech plików (w tym skryptu wykonywalnego oraz konfigurowalnego pakietu Python o nazwie eyrie.pyz). Gyrfalcon może nie tylko kraść poświadczenia aktywnych sesji SSH, ale także jest w stanie zebrać pełny lub częściowy ruch sesji OpenSSH:
Przykładowy plik z przechwyconymi danymi SSH zwierającymi hasła. Liczby 15154 oraz 15156 to numery sesji. (źródło: https://wikileaks.org) |
Wszystkie zebrane przez Gyrfalcona informacje są przechowywane w zaszyfrowanym pliku do późniejszej analizy. Do prawidłowego działania wymaga systemu Linux z wersją jądra co najmniej 2.6.14 i biblioteki glibc 2.5 lub wyższej. Po użyciu odpowiednich poleceń Python, przechwycony plik staje się czytelniejszy:
Uporządkowane przechwycone dane SSH zwierające hasło klucza prywatnego. (źródło: https://wikileaks.org) |
Gyrfalcon does not provide any communication services between the local operator computer and target platform. The operator must use a third-party application to upload these three files to the target platform.
Pakiet eyrie.pyz oprócz konfiguracji narzędzia Gyrfalcon umożliwia także deszyfrowanie i dekompresję pliku w którym Gyrfalcon zebrał dane z sesji SSH. Plik z zebranymi przez Gyrfalcon danymi posiada nazwę w formacie takim jak: collect.bin.20121202_135960.
Dokumentacja narzędzia BothanSpy:
Dokumentacja narzędzia Gyrfalcon:
Źródło:
https://wikileaks.org/vault7/#BothanSpy
https://wikileaks.org/vault7/#BothanSpy
0 komentarze:
Prześlij komentarz