De CIA beschikt over malware om inloggegevens voor ssh te onderscheppen en terug naar de CIA te sturen, zo stelt klokkenluiderssite WikiLeaks in een nieuwe onthulling. Het gaat om twee malware-exemplaren genaamd BothanSpy en Gyrfalcon die beide ontwikkeld zijn om ssh-inloggegevens te stelen.
BothanSpy en Gyrfalcon werken echter op verschillende besturingssystemen en maken van verschillende aanvalsvectoren gebruik. De BothanSpy-malware richt zich op de ssh-client Xshell voor Windows en steelt inloggegevens van alle actieve ssh-sessies. Het gaat dan om gebruikersnaam en wachtwoord in het geval van een op wachtwoord-gebaseerde authenticatie of gebruikersnaam, bestandsnaam van de private ssh-sleutel en het sleutelwachtwoord als er public key-authenticatie wordt gebruikt. BothanSpy kan gestolen inloggegevens naar een door de CIA beheerde server terugsturen of in een versleutelde map opslaan.
De Gyrfalcon-malware richt zich op de OpenSSH-client op Linux en is in staat om zowel inloggegevens van actieve ssh-sessies te stelen als het OpenSSH-sessieverkeer te verzamelen. Alle verzamelde informatie wordt in een versleutelde map opgeslagen. Voor de installatie en configuratie van Gyrfalcon wordt er van een door de CIA ontwikkelde rootkit gebruik gemaakt. De documenten van BothanSpy en Gyrfalcon dateren respectievelijk van 2015 en 2013 en zijn afkomstig uit Vault 7, de grote verzameling tools, exploits en documenten van de CIA die WikiLeaks in handen kreeg. De malware-exemplaren zelf zijn niet vrijgegeven. Via ssh kunnen gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen en op afstand machines beheren.
Deze posting is gelocked. Reageren is niet meer mogelijk.