lundi , 25 septembre 2017

BothanSpy et Gyrfalcon, des outils de la CIA pour voler des identifiants SSH

WikiLeaks a publié des documents détaillant BothanSpy et Gyrfalcon qui sont des outils utilisés par la CIA pour voler les informations SSH sur les systèmes Windows et Linux.


BothanSpy et Gyrfalcon, des outils de la CIA pour voler des identifiants SSH
Un document daté de mars 2015 décrit BothanSpy comme un outil qui vole les informations d’identification pour les sessions SSH actives sur Xshell.1 Ce dernier est un émulateur de terminal SSH, telnet et rlogin pour Windows. En utilisant un mode surnommé “Fire and Collect”, BothanSpy recueille les informations d’identification SSH et les envoie au serveur de l’assaillant sans écrire de données sur la machine compromise. Mais si le mode “Fire and Forget” est utilisé, alors les informations d’identification volées sont écrites sur un fichier sur le disque. Le second outil, Gyrfalcon 2.0, décrit dans un document daté de novembre 2013, est conçu pour voler les informations d’identification SSH du client OpenSSH sur Linux.2

Gyrfalcon est une bibliothèque chargée dans l’espace d’adressage d’OpenSSH. Elle collecte le trafic de la session OpenSSH incluant les noms d’utilisateur et les mots de passe. Ensuite, il compresse, chiffre et stocke les données dans un fichier. Il faut une autre application pour obtenir le fichier.

La documentation de Gyrfalcon 2.0 informe les utilisateurs qu’ils doivent maitriser la ligne de commande dans les systèmes Linux/UNIX et qu’ils doivent connaître des procédures standard pour masquer leur activité dans certains types de Shell. Ces derniers mois avec l’opération de publication surnommée Vault 7, WikiLeaks a décrit plusieurs outils utilisés par la CIA. La liste comprend des outils pour rediriger le trafic sur les systèmes Linux (OutlawCountry), propager des logiciels malveillants sur le réseau d’une organisation (Pandemic), localiser les personnes via le Wi-Fi (Elsa), pirater des routeurs et des points d’accès (Cherry Blossom) et accéder aux réseaux de type Air Gap qui sont des machines qui sont isolées de toute connexion extérieure comme internet (Kangaroo Brutal).

WikiLeaks a également dévoilé des outils pour remplacer des fichiers légitimes par des logiciels malveillants, pirater des téléviseurs intelligents, lancer des MitM sans oublier le blocage de la détection des logiciels malveillants et la création d’installateurs de logiciels malveillants personnalisés. En analysant les documents, les chercheurs ont trouvé des liens entre les outils dévoilés par Wikileaks et les logiciels malveillants utilisés par une entité spécialisée dans l’espionnage appelé “Longhorn” et “The Lamberts”.

Sources

1.
BothanSpy dans les documents de Wikileaks. wikileaks.org. https://wikileaks.org/vault7/#BothanSpy. Accessed July 7, 2017.
2.
WikiLeaks – Gyrfalcon 2.0 User Guide. wikileaks.org. https://wikileaks.org/vault7/document/Gyrfalcon-2_0-User_Guide/. Accessed July 7, 2017.
N'oubliez pas de voter :
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, average: 5,00 out of 5)
Loading...

Faites un don sur notre page Patreon

Quelle est la fiabilité de cette information ou étude ?

Aucun avis particulier

A propos de Houssen Moshinaly

Rédacteur en chef d'Actualité Houssenia Writing. Blogueur frénétique et précaire comme tout blogueur qui se respecte.

Répondre

Votre adresse email ne sera pas publiée. Les champs obligatoires sont marqués d'une étoile *

*

Timber by EMSIEN 3 Ltd BG