维基解密最新曝光:CIA 曾植入多款恶意工具窃取 Windows 与 Linux 操作系统 SSH 凭证

据外媒 7 月 6 日报道,维基解密( Wikileaks )最新曝光一批 Vault7 文档,揭露了美国中央情报局( CIA )恶意植入工具 BothanSpy 与 Gyrfalcon 如何通过多种攻击向量窃取 Windows 和 Linux 操作系统 SSH 凭据。

两款恶意植入均可窃取所有活跃 SSH 会话登录凭据并发送回 CIA 网络间谍系统,但区别在于:

第一款恶意植入工具 BothanSpy 主要针对 Microsoft Windows Xshell 客户端。而作为目标机器上的 Shellterm 3.x 扩展安装,只有当 Xshell 以有效活跃会话运行在目标机器的情况下才会起到作用。此外,为了将 BothanSpy 用于运行 x64 版本的 Windows 目标系统,加载程序必须支持 Wow64 注入。与此同时,Xshell 只能作为 x86 二进制文件,因此 BothanSpy 仅被编译为 x86 版本。

Xshell 是支持 SSH、SFTP、TELNET、RLOGIN 与 SERIAL 的终端仿真器,用于提供业界领先功能,包括标签环境、动态端口转发、自定义键映射、用户定义按钮、VB 脚本以及用于显示 2 个字符与国际语言支持的 UNICODE 终端。

维基解密最新曝光:CIA 曾植入多款恶意工具窃取 Windows 与 Linux 操作系统 SSH 凭证

第二款恶意植入工具 Gyrfalcon 针对包括 CentOS、Debian、RHEL(Red Hat)、openSUSE 与 Ubuntu 在内各种 Linux 版本的 OpenSSH 客户端。一旦成功植入 Linux 系统( 32 或 64 位内核 ),CIA 黑客即可使用自定义恶意软件 JQC / KitV rootkit 进行持久访问。Gyrfalcon 收集完整或部分 OpenSSH 会话流量,并将被盗信息存储至本地加密文件用于后续渗透。

Gyrfalcon 还是一款 SSH 会话 “共享” 工具,可在运行目标主机的出站 OpenSSH 会话中进行操控,以记录 SSH 会话(包括登录凭据)并代表远程主机合法用户执行命令。获悉,该工具以自动化方式运行,需提前配置。一段时间后,黑客会返回并要求 Gyrfalcon 将所收集的全部信息复制到磁盘中,以便日后对数据进行检索、解密与分析。

原作者:Pierluigi Paganini,译者:青楚,译审:游弋
本文由 HackerNews.cc 翻译整理,封面来源于网络。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。

维基解密最新曝光:CIA 曾植入多款恶意工具窃取 Windows 与 Linux 操作系统 SSH 凭证

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论