En concreto, Wikileaks ha desvelado dos herramientas llamadas BothanSpy y Gyrfalcon, que tenían como objetivo interceptar y robar credenciales SSH. Las herramientas, aunque tengan el mismo fin, cada una estaba pensada para funcionar en un sistema operativo diferente; una en Windows, y otra en Linux.

BothanSpy: robando credenciales en Windows a través de SSH

BothanSpy (en honor a los Bothans de Star Wars, los cuales eran conocidos por ser grandes políticos y espías)  es un implante que tiene como objetivo el cliente SSH Xshell en Windows, y robando las credenciales de cualquier sesión SSH activa. Recordamos que SSH es la abreviación de Secure Shell, un protocolo que facilita comunicaciones seguras entre un cliente y un servidor, ya que, a diferencia de FTP o Telnet, las sesiones SSH están cifradas.

Las credenciales que BothanSpy robaba son el usuario y contraseña en el caso de sesiones SSH a las que se ha accedido mediante contraseña o nombre de usuario, o usuario, tipo de archivo de la clave SSH y contraseña si se usaba una clave de autenticación pública. La herramienta se instalaba fácilmente en sistemas con versiones de 32 bits, mientras que en los de 64 bits es necesario usar un loader con soporte para inyecciones Wow64.

Después, BothanSpy podía enviar todas las credenciales robadas a servidores controlados por la CIA (sin que en ningún momento el implante tocase una unidad de almacenamiento del ordenador objetivo), o podía elegir guardarlas como un archivo cifrado en el ordenador para extraerlo posteriormente con otros métodos, como otras herramientas de control remoto o accediendo físicamente al dispositivo.

El archivo resultando de robar las credenciales cuenta con un número excesivo de líneas hasta encontrar el usuario y contraseña en texto plano, pudiendo obtenerse varias, por lo que en su guía la CIA advertía que incluso podría llegar a “generar cansancio ocular ver las credenciales robadas”. Además, incluyen diversas bromas sobre utilizar esta herramienta para “destruir la Estrella de la Muerte” de Star Wars.

Gyrfalcon: atacando SSH en Linux

Mientras que BothanSpy era para ordenadores con Windows, Gyrfalcon es la versión de la herramienta que tiene como objetivo OpenSSH en ordenadores con sistemas operativos basados en Linux, como CentOS, Red Hat Enterprise Linux, Debian, SUSE o Ubuntu. Además de robar las credenciales de una sesión SSH activa, Gyrfalcon también podía recoger una parte o la totalidad del tráfico de la sesión OpenSSH activa.

Una vez la herramienta obtenía toda la información que necesitaba, Gyrfalcon seguía un proceso similar que BothanSpy y cifraba y almacenaba el archivo para poder obtenerlo posteriormente. Para ser instalado y configurado, era necesario utilizar un rootkit de la CIA llamado JQC/KitV.

La fecha de la versión 1.0 de BothanSpy (la única disponible) data de marzo de 2015, unos pocos meses antes de que Windows 10 fuese lanzado al mercado. En el caso de Gyrfalcon, su antigüedad es algo mayor, y su fecha data de noviembre de 2013 para la versión 2.0 (la última disponible). La primera versión de la herramienta para Linux data de enero de 2013.

 

Fuente: adslzone