Четверг, 28 мая, 07:51
дома инет WikiLeaks: Как ЦРУ крадет сертификаты SSH?

WikiLeaks: Как ЦРУ крадет сертификаты SSH?

Сегодня WikiLeaks выпустил пакет документов 15 в серии Vault 7. На этот раз он описывает два внедрения CIA, которые позволяют разведывательной службе отслеживать и перехватывать сертификаты SSH (Secure Shell) из целевых операционных систем Windows и Linux, используя различные режимы атаки.

Secure Shell или SSH - это криптографический сетевой протокол, используемый для удаленного подключения компьютеров и серверов к незащищенной сети.WikiLeaks

Это Первый имплантат называется BothanSpy и адресован операционным системам Windows, последняя называется Кречет и предназначается для приложения OpenSSH в различных дистрибутивах Linux, таких как CentOS, Debian, RHEL, openSUSE и Ubuntu.

Оба имплантата крадут учетные данные пользователя для всех активных сеансов SSH, а затем отправляют их на сервер, контролируемый CIA.

BothanSpy

BothanSpy устанавливается как расширение Shellterm 3.x на целевом компьютере и работает только в случае запуска Xshell и только в активных сеансах.

Xshell - это мощный эмулятор терминала, поддерживающий протоколы SSH, SFTP, TELNET, RLOGIN и SERIAL, обеспечивающий переадресацию портов, сопоставление пользовательских ключей и сценарии VB.

«Чтобы использовать BothanSpy для целей, использующих версию Windows для x64, используемый загрузчик должен поддерживать внедрение Wow64», - говорится в руководстве пользователя CIA, опубликованном WikiLeaks.

«Xshell поставляется только как двоичный файл x86, и поэтому BothanSpy стал скомпилированным как x86. Shellterm 3.0 + поддерживает инъекцию Wow64 и настоятельно рекомендуется ».

Кречет

Gyrfalcon предназначен для систем Linux (битовое ядро ​​32 или 64), используя руткит JQC / KitV, разработанный CIA для непрерывного доступа.

Gyrfalcon может собирать полный или частичный трафик из соединений OpenSSH и сохраняет украденную информацию в зашифрованном файле для последующей обработки.

«Инструмент работает в автоматическом режиме, предварительно настроен, работает на удаленном хосте и позволяет ему работать», - говорится в руководстве пользователя Gyrfalcon v1.0.

«Иногда оператор возвращается и дает команду gyrfalcon очистить данные, которые он собрал на диске. Оператор извлекает файл сбора, расшифровывает и анализирует собранные данные ».

В руководстве пользователя, опубликованном WikiLeaks для Gyrfalcon v2.0, говорится, что имплантат состоит из «двух скомпилированных двоичных файлов, которые необходимо загрузить на платформу назначения вместе с зашифрованным файлом конфигурации».

«Gyrfalcon не предоставляет услуг связи между локальным компьютером и оператором. Оператор должен использовать третье приложение для загрузки этих трех файлов в цель ».

Напоминаем, что Wikileaks выпустил документы серии Vault 7 от марта 7, в которых раскрывается все больше и больше инструментов Coca-Cola Hacker.

Year Zero«ЦРУ использует популярное аппаратное и программное обеспечение.
Плачущий ангел«Шпионский инструмент, который сервис использует для проникновения в умные телевизоры, превращая их в замаскированные микрофоны.
Тёмная материя"Эксплойты, нацеленные на iPhone и Mac.
Мрамор«Исходный код секретной криминалистической структуры. Это в основном обфускатор, который ЦРУ использует, чтобы скрыть реальный источник вредоносного ПО.
Кузнечик«Платформа, позволяющая информационной службе легко создавать пользовательские вредоносные программы, нарушающие Microsoft Windows и обходящие любую антивирусную защиту.

«Архимед»- средство атаки MitM, предположительно созданное ЦРУ для нацеливания на компьютеры в локальной сети (LAN).
Scribbles«Программное обеспечение, предназначенное для добавления« веб-маяков »к секретным документам, чтобы секретные службы могли контролировать утечки.
Афина:предназначен для полного получения полного контроля над зараженными компьютерами Windows, что позволяет CIA выполнять множество функций на целевом компьютере, таких как удаление данных или установка вредоносного программного обеспечения, кража данных и отправка их на серверы CIA.
CherryBlossom инструмент, который отслеживает онлайн-активность цели, перенаправляет браузер, сканирует адреса электронной почты и номера телефонов и многое другое через маршрутизатор.
Брутальный кенгуру: Инструмент, который можно использовать для заражения компьютеров с воздушным зазором вредоносным ПО.
ELSA Вредоносная программа Windows, используемая ЦРУ для определения местоположения конкретного пользователя с помощью Wi-Fi его компьютера.
OutlawCountry: Вредоносное ПО для Linux, которое ЦРУ использует для определения местоположения конкретного пользователя с помощью Wi-Fi на компьютере.
BothanSpy - Gyrfalcon: для кражи SSH-аутентификации из Windows и Linux соответственно

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

SecNews
SecNewshttps://www.secnews.gr
В мире без заборов и стен, которым нужны ворота и окна

LIVE NEWS

Linux Kodachi: версия v7.0 была выпущена со многими новыми приложениями

Недавно была выпущена новая версия Linux Kodachi. Хотя эта функция не очень известна ...

Безопасность в облаке: усилить атаки на онлайн-сервисы

В последние месяцы атаки киберпространства, нацеленные на облачные сервисы, значительно усилились, поскольку киберпреступники пытаются ...

Ransomware: выкуп, требуемый хакерами, увеличился в 14 раз

Ransomware стал одной из самых коварных угроз за последние два года, когда хакеры усиливают свою деятельность ...

Новая поправка для онлайн-наблюдения за американцами!

После трех дней переговоров члены парламента достигли соглашения о защите частной жизни американских граждан. Поправка ...

Дональд Трамп против Твиттера или Твиттер против Дональда Трампа?

Во вторник Twitter указал на два твита Дональда Трампа, в которых утверждалось, что голосование по почте может ...

Приложение Aarogya Setu Индии с открытым исходным кодом

Индия недавно объявила, что выпустит исходный код приложения для мониторинга короны, известного как ...

Samsung разрабатывает новый чип безопасности для смартфонов

Как было объявлено во вторник, Samsung выпустила новую микросхему защищенного элемента (SE) для более эффективной защиты ...

Красный Крест: «Давайте прекратим кибератаки в больницах»

Красный Крест и другие организации призывают правительства создать альянс, чтобы остановить кибератаки в больницах.

LiveJournal: миллионы пользовательских учетных данных продаются в темной сети

Учетные данные и данные от 26 миллионов пользователей LiveJournal продаются в Интернете и в темной сети.

Линус Торвальдс обновил свой компьютер до процессора AMD

Когда-то для многих пользователей процессоры AMD уступали процессорам Intel. С...