WikiLeaks обнародовала инструменты взлома ЦРУ BothanSpy и Gyrfalcon на Windows и Linux

Портал WikiLeaks опубликовал очередные документы с описанием хакерских инструментов ЦРУ, на этот раз нацеленные на SSH-клиенты систем Windows и Linux. Программное обеспечение под названием BothanSpy и Gyrfalcon использовалось для кражи данных на вход пользователей в активных сессиях SSH в системах Windows и Linux.

BothanSpy был нацелен на взлом популярного на Windows SSH-клиента Xshell. Этот взлом позволил ЦРУ красть логины и пароли аутентификации, а также имена пользователей и имена файлов приватных ключей SSH и пароли публичных ключей аутентификации.

BothanSpy может передавать эти данные на серверы ЦРУ или сохранять в зашифрованном виде для передачи позднее. Программа устанавливается как расширение Shellterm 3.x.

Gyrfalcon нацеливается на клиент OpenSSH на Linux, затронуты все популярные дистрибутивы, в том числе Ubuntu и SUSE. Крадутся описанные выше данные и некоторые другие, зашифровываются и передаются на сервер. Может частично или полностью собираться трафик OpenSSH. Установка и настройка происходит при помощи созданного в ЦРУ руткита (JQC/KitV). Таким образом, Gyrfalcon можно использовать только после взлома Linux руткитом, хотя у ЦРУ есть и другие инструменты взлома компьютеров.