WikiLeaks раскрыл сведения об инструментарии ЦРУ для внедрения SSH-бэкдоров

В очередной порции документов, полученных в результате утечки данных из закрытой сети ЦРУ и размещенных на WikiLeaks, приводятся сведения о двух проектах по установке бэкдоров (имплантов в терминологии ЦРУ) на системы пользователей - BothanSpy и Gyrfalcon. Оба проекта обеспечивают перехват за данными аутентификации, применяемыми при установке защищенных сеансов по протоколу SSH.

Gyrfalcon нацелен на сбор параметров аутентификации (логин/пароль, закрытые SSH-ключи и пароли к SSH-ключам) у клиентов OpenSSH, а также поддерживает режим полного или выборочного сохранения содержимого SSH-сеансов. Вся накопленная информация шифруется и сохраняется в файл для последующей отправки на внешний сервер, подконтрольный ЦРУ.

Варианты Gyrfalcon подготовлены для различных дистрибутивов Linux, включая RHEL, CentOS, Debian, openSUSE и Ubuntu. Gyrfalcon заменяет собой штатный системный SSH-клиент и устанавливается в систему после получения привилегированного доступа через атаку с использованием неисправленных уязвимостей или через вход под перехваченной учетной записью. Для скрытия подмены и организации доступа к системе применяется руткит JQC/KitV. Передача накопленных данных осуществляется по внешней команде.

Второй бэкдор BothanSpy близок по своим возможностям к Gyrfalcon, и отличается тем, что нацелен на слежку за пользователями Windows через подмену SSH-клиента Xshell. Бэкдор устанавливается в систему под видом расширения Shellterm 3.x и действует только для SSH-сеансов, осуществляемых через эмулятор терминала Xshell.