142 0

Wikileaks continúa desvelándonos archivos que muestran las herramientas que la CIA utilizaba para robar credenciales de usuario para sesiones SSH activas, con Windows y Linux. Las filtraciones, recogidas en el programa Vault 7 en su página, muestran dos herramientas llamadas BothanSpy  y Gyrfalcon. Las herramientas, aunque tengan el mismo fin, cada una estaba pensada para funcionar en un sistema operativo diferente; una en Windows, y otra en Linux.

BothanSpy robaba credenciales en Windows

En primer lugar, es BothanSpy, que WikiLeaks dice que se ha dirigido a hackear Xshell, un popular cliente SSH para Windows. Este hack permitió a la CIA robar el nombre de usuario y contraseñas de la sesión SSH autenticada por contraseña, así como nombres de usuario, nombre de archivo de la clave SSH privada y contraseña clave en el caso de la autenticación de clave pública. Si alguno no sabe en qué consiste el SSH, es la abreviación de Secure Shell, un protocolo que facilita comunicaciones seguras entre un cliente y un servidor, ya que las sesiones SSH están cifradas.

BothanSpy se instalaba en sistemas con versiones de 32 bits, mientras que en los de 64 bits es necesario usar un loader con soporte para inyecciones Wow64.

A continuación, BothanSpy procedía a enviar todas las credenciales robadas a servidores controlados por la CIA o podía elegir guardarlas como un archivo cifrado en el ordenador para extraerlo posteriormente con otros métodos, como otras herramientas de control remoto o accediendo físicamente al dispositivo.

CIA

Gyrfalcon atacaba al SSH en Linux

En el caso de Gyrfalcon, esta herramienta de hacking estaba dirigida al cliente OpenSSH para Linux, incluyendo CentOS, Red Hat Enterprise Linux, Debian, SUSE o Ubuntu.Una vez más, las credenciales de usuario pueden ser robadas, y WikiLeaks afirma que otros datos también se pueden acceder antes de ser colocado en un archivo cifrado para ser posteriormente transmitida a la CIA.

Además de robar las credenciales de una sesión SSH activa, Gyrfalcon también podía recoger una parte o la totalidad del tráfico de la sesión OpenSSH activa. Toda la información recopilada se almacena en un archivo cifrado para su posterior exfiltración. Se instala y configura usando un kit raíz desarrollado por CIA (JQC / KitV) en la máquina de destino, tal y como revela la fuga de Wikileaks.

Así pues, los agentes de la CIA pueden utilizar Gyrfalcon sólo después de comprometer el sistema Linux con el rootkit, aunque las filtraciones anteriores también han demostrado que la agencia tiene varias otras herramientas de hacking que podrían utilizarse para entrar en un PC.

 

 

Fuente

En este artículo...

Participa en la conversación


¡Síguenos en  TWITTER y FACEBOOK!
Grupo de Telegram