BOTHANSPY Y GYRFALCON HERRAMIENTAS DE LA CIA

WikiLeaks publica la documentación de dos herramientas de hacking de la CIA cuyo nombre en código BothanSpy y Gyrfalcon, ambos diseñados para robar credenciales SSH de sistemas Windows y Linux

Ambas herramientas son "implantes", un término que la CIA utiliza para describir las cargas útiles de malware. Una vez instalado a través de diversos medios en la computadora de un objetivo, estos dos implantes enganchan en los procesos relacionados con SSH y roban las credenciales o tráfico de la sesión, siempre que sea posible.

BothanSpy objetivos Windows

La primera versión de BothanSpy fue diseñado para ordenadores Windows. De acuerdo con un manual de 12 páginas fechado en marzo de 2015, el malware se enganchará en el proceso de Xshell, un cliente de Windows SSH.

BothanSpy utilizará este acceso para robar credenciales de usuario para todas las sesiones SSH activos. Estos datos se pueden enviar de inmediato a un servidor remoto, o se almacena en el disco en un archivo cifrado.

Gryfalcon objetivo Linux

Gryfalcon es un implante para sistemas Linux. De acuerdo con un manual de 27 páginas fechado en noviembre de 2013, este malware pueden dirigirse a distribuciones como RHEL, Ubuntu, Suse, Debian, y CentOS.

Gryfalcon trabaja apuntando el cliente OpenSSH, desde donde se puede extraer credenciales de usuario para sesiones SSH activos y el tráfico de sesión OpenSSH total o parcial. El robo de datos se guarda localmente en un archivo encriptado, y se exfiltraron en una fecha posterior.

Agentes de la CIA necesitan privilegios de root para instalar Gryfalcon, pero la propia herramienta pueden operar desde una cuenta normal.

La publicaciçpm es parte de una serie más grande llamada Bóveda 7 contiene los documentos de WikiLeaks reclamaciones fueron robados de la CIA por los hackers y los iniciados.


Fecha actualización el 2017-7-7. Fecha publicación el . Categoría: Software. Autor: Mapa del sitio Fuente: Wikileaks
BothanSpy t Gyrfalcon