Wikileaks revela implantes de la CIA que roban credenciales SSH de Computadoras con Windows y Linux

3
1460
views

WikiLeaks publicó más programas, otro más de Vault 7, esta vez detallando dos supuestos programas de la CIA que les permitieron interceptar y filtrar credenciales SSH (Secure Shell) de Windows y Linux.

Secure Shell o SSH es un protocolo de red criptográfica que se utiliza para conectarse de forma remota a computadoras y servidores de forma segura a través de una red no segura.

El programa es conocido como BothanSpy , es unimplante para Microsoft Windows Xshell y Gyrfalcon, que se dirige al cliente OpenSSH en varias distribuciones de los siguientes sistemas operativos; Linux, CentOS, Debian, RHEL (Red Hat), openSUSE y Ubuntu.

Ambos programas/implantes roban las credenciales SSH y se envían a un servidor controlado por la CIA.

BothanSpy

BothanSpy se instala como una extensión Shellterm 3.x en la computadora que se desea y sólo funciona si Xshell se ejecuta con sesiones activas.

Xshell es un poderoso emulador terminal que soporta SSH, SFTP, TELNET, RLOGIN y SERIAL para ofrecer características líderes de la industria incluyendo el reenvío dinámico de puertos, asignaciones de teclas personalizadas, botones definidos por el usuario y Scripting VB.

Según el manual que se publicó de la CIA:

“Para usar BothanSpy contra computadoras que utilizan la versión x64 de Windows, el cargador de programas que se utiliza debe soportar la inyección Wow64”

“Xshell está disponible para una versión de Windows que utilice x86, y por tanto BothanSpy solo se compila con la versión x86. Shellterm 3.0+ soporta la inyección Wow64, y Shellterm es muy recomendable”.

Gyrfalcon

Gyrfalcon ataca a sistemas Linux (32 o 64 bits) usando un rootkit JQC / KitV desarrollado por la CIA para tener acceso.

Pero, también es capaz de recopilar el tráfico total o parcial de OpenSSH y almacena la información robada en un archivo cifrado para su posterior filtración.

Según el manual que se publicó de la CIA:

“La herramienta se ejecuta de forma automática, se ejecuta en el host remoto y a la izquierda”

“El operador ordena a gyrfalcon que descargue toda la información en disco. Cuando ya roba toda la información, la cifra y analiza.”.

El manual Gyrfalcon v2.0 (Guía del programa) dice que el implante/programa consiste en dos binarios compilados que se deben cargar en la plataforma de destino junto con el archivo de configuración cifrado..

“Gyrfalcon no proporciona ningún tipo de servicio de comunicación entre la computadora del operador local y la plataforma que se desea atacar. El operador debe utilizar una aplicación Third-party para cargar estos tres archivos en la computadora”.

Previos programas filtrados de la CIA

  • ELSA: Rastrea la localización geográfica de computadoras y portátiles dirigidos que ejecutan el Microsoft Windows.
  • Brutal Kangaroo: Una herramienta de la CIA para Windows que apunta a redes cerradas dentro de una empresa u organización sin necesidad de acceso directo.
  • Cherry BlossomUn framework de la CIA, usado para monitorear la actividad de Internet de las computadoras, explotando errores en dispositivos WiFi.
  • Pandemia: Un proyecto de la CIA que permitió a la agencia de espionaje convertir servidores de archivos de Windows en computadoras de ataque encubiertas que pueden infectar de forma silenciosa a otras computadoras de interés dentro de la red infectada.
  • Athena: Un spyware que ha sido diseñado para tomar el control total de las computadoras infectadas de forma remota, y funciona con todas las versiones de los sistemas operativos Windows, desde Windows XP a Windows 10.
  • AfterMidnight y Assassin: Dos framework maliciosos de la CIA para Windows, diseñados para monitorear y reportar acciones en el equipoinfectado y ejecutar código malicioso.
  • Archimedes:Una herramienta de ataque supuestamente construida por la CIA, para apuntar las computadoras dentro de una Red de Área Local y espiarlas.
  • Scribbles: Un software diseñado para incorporar “web beacons” en documentos confidenciales, permitiendo que los hackers de la CIA rastreen sus victimas.
  • Grasshopper: Un framework que permitió a la CIA crear un malware personalizado para romper las Windows y evitar la protección antivirus.
  • Marble: El código fuente de un framework secreto anti-forense, principalmente utilizado por la agencia de espionaje para ocultar la fuente real de su malware.
  • Dark Matter: Exploits de la agencia diseñados para atacar iPhones y Mac.
  • Weeping Angel: Herramienta de espionaje utilizada por la CIA para infiltrarse en las smart Tv’s (televisiones inteligentes), transformándolos en micrófonos ocultos.
  • Year Zero: Exploits populares de la CIA para hackear hardware y software.

 

Toda la información proporcionada en este medio es para fines educativos, en ningún caso alguno se hace responsable e cualquier mal uso de la información. Toda la información es para el desarrollo e investigación de métodos de seguridad informática.

No olvides visitar nuestra hacking shop

shop