BothanSpy et Gyrfalcon, des outils de la CIA pour voler des identifiants SSH


  • FrançaisFrançais

  • WikiLeaks a publié des documents détaillant BothanSpy et Gyrfalcon qui sont des outils utilisés par la CIA pour voler les informations SSH sur les systèmes Windows et Linux.


    Suivez-nous sur notre page Facebook et notre canal Telegram

    WikiLeaks a publié des documents détaillant BothanSpy et Gyrfalcon qui sont des outils utilisés par la CIA pour voler les informations SSH sur les systèmes Windows et Linux.

    Un document daté de mars 2015 décrit BothanSpy comme un outil qui vole les informations d’identification pour les sessions SSH actives sur Xshell.1 Ce dernier est un émulateur de terminal SSH, telnet et rlogin pour Windows. En utilisant un mode surnommé “Fire and Collect”, BothanSpy recueille les informations d’identification SSH et les envoie au serveur de l’assaillant sans écrire de données sur la machine compromise. Mais si le mode “Fire and Forget” est utilisé, alors les informations d’identification volées sont écrites sur un fichier sur le disque. Le second outil, Gyrfalcon 2.0, décrit dans un document daté de novembre 2013, est conçu pour voler les informations d’identification SSH du client OpenSSH sur Linux.2

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Gyrfalcon est une bibliothèque chargée dans l’espace d’adressage d’OpenSSH. Elle collecte le trafic de la session OpenSSH incluant les noms d’utilisateur et les mots de passe. Ensuite, il compresse, chiffre et stocke les données dans un fichier. Il faut une autre application pour obtenir le fichier.

    La documentation de Gyrfalcon 2.0 informe les utilisateurs qu’ils doivent maitriser la ligne de commande dans les systèmes Linux/UNIX et qu’ils doivent connaître des procédures standard pour masquer leur activité dans certains types de Shell. Ces derniers mois avec l’opération de publication surnommée Vault 7, WikiLeaks a décrit plusieurs outils utilisés par la CIA. La liste comprend des outils pour rediriger le trafic sur les systèmes Linux (OutlawCountry), propager des logiciels malveillants sur le réseau d’une organisation (Pandemic), localiser les personnes via le Wi-Fi (Elsa), pirater des routeurs et des points d’accès (Cherry Blossom) et accéder aux réseaux de type Air Gap qui sont des machines qui sont isolées de toute connexion extérieure comme internet (Kangaroo Brutal).

    WikiLeaks a également dévoilé des outils pour remplacer des fichiers légitimes par des logiciels malveillants, pirater des téléviseurs intelligents, lancer des MitM sans oublier le blocage de la détection des logiciels malveillants et la création d’installateurs de logiciels malveillants personnalisés. En analysant les documents, les chercheurs ont trouvé des liens entre les outils dévoilés par Wikileaks et les logiciels malveillants utilisés par une entité spécialisée dans l’espionnage appelé “Longhorn” et “The Lamberts”.

    Sources

    1.
    BothanSpy dans les documents de Wikileaks. wikileaks.org. https://wikileaks.org/vault7/#BothanSpy. Accessed July 7, 2017.
    2.
    WikiLeaks – Gyrfalcon 2.0 User Guide. wikileaks.org. https://wikileaks.org/vault7/document/Gyrfalcon-2_0-User_Guide/. Accessed July 7, 2017.

    Si vous avez apprécié cet article, soutenez-moi sur Patreon ou Buy me a coffee Vous recevrez chaque semaine du contenu exclusif et des réponses à vos questions. Merci ! 😊

    Houssen Moshinaly

    Rédacteur en chef d'Actualité Houssenia Writing. Rédacteur web depuis 2009.

    Blogueur et essayiste, j'ai écrit 9 livres sur différents sujets comme la corruption en science, les singularités technologiques ou encore des fictions. Je propose aujourd'hui des analyses politiques et géopolitiques sur le nouveau monde qui arrive. J'ai une formation de rédaction web et une longue carrière de prolétaire.

    Pour me contacter personnellement :

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *