Bothanspy Gyrfalcon

WikiLeaks publicó nuevo documentos de su serie Vault7 sobre las herramientas que utiliza la CIA para perpetrar campañas de ciberespionaje. En esta ocasión, los documentos filtrados por WikiLeaks describen las herramientas utilizadas por la CIA para hackear el protocolo criptográfico Secure Shell (SSH), el que es utilizado para conectarse a un ordenador de forma remota.

Según los documentos, la CIA utiliza dos herramientas llamadas BothanSpy y Gyrfalcon para extraer las credenciales SSH de usuarios que utilizan este protocolo tanto en Windows como en Linux. Ambas herramientas son instaladas en el sistema operativo de las víctimas utilizando exploits del sistema o de software comercial.

BothanSpy es un malware que es utilizado por la CIA para extraer los nombres de usuario y contraseñas de las sesiones SSH activas en Windows. Específicamente este malware ataca a los usuarios que utilizan el software propietario Xshell desde la versión 3 hasta la 5. Tan pronto BothanSpy intercepta una conexión SSH activa, extrae el archivo que contiene la clave SSH privada y la contraseña. Los datos luego son enviados a un servidor controlado por la CIA. Si no es posible enviar los datos recolectados a los servidores, BothanSpy encripta los datos y los envía tan pronto detecta una conexión a Internet.

Por otro lado, Gyrfalcon es una herramienta que la CIA utiliza para hackear el software OpenSHH en Linux. La documentación no deja claro si todas las distribuciones de Linux son vulnerables, pero especifica que es completamente operativo en Ubuntu, Debian, CentOS, Suse, y Red Hat tanto en versión de 32bits como de 64bits. Gyrfalcon intercepta una conexión SSH activa y extrae los nombres de usuario y contraseñas. También tiene la habilidad de interceptar el tráfico en tiempo real de una sesión activa. Los datos recolectados son comprimidos, encriptados y enviados a los servidores de la CIA.

Josh Trank se une a Tom Hardy en un proyecto que narra la formación de la CIA

Estas son otras de las herramientas que la CIA utiliza y que WikiLeaks ha expuesto como parte de su paquete de filtraciones Vault7:

Más en TekCrispy