Παρασκευή, 7 Ιουλίου 2017

WikiLeaks: πως κλέβει η CIA πιστοποιήσεις SSH;




Το WikiLeaks δημοσίευσε σήμερα τη 15η παρτίδα εγγράφων στη σειρά Vault 7. Αυτή τη φορά περιγράφει δύο εμφυτεύματα της CIA που επιτρέπουν στην υπηρεσία πληροφοριών να παρακολουθήσει και να υποκλέψει πιστοποιήσεις SSH (Secure Shell) από στοχευμένα λειτουργικά συστήματα Windows και Linux χρησιμοποιώντας διαφορετικούς τρόπους επίθεσης.
Το Secure Shell ή το SSH είναι ένα πρωτόκολλο κρυπτογραφικού δικτύου που χρησιμοποιείται για την απομακρυσμένη σύνδεση σε μηχανές και διακομιστές με ασφάλεια σε ένα μη ασφαλές δίκτυο.
Το πρώτο εμφύτευμα ονομάζεται BothanSpy και απευθύνεται σε λειτουργικά Windows, ενώ το δεύτερο ονομάζεται Gyrfalcon και στοχεύει την εφαρμογή OpenSSH σε διάφορες διανομές Linux, όπως τις CentOS, Debian, RHEL, openSUSE και Ubuntu.
Και τα δύο εμφυτεύματα κλέβουν τα διαπιστευτήρια χρήστη για όλες τις ενεργές περιόδους σύνδεσης SSH και στη συνέχεια τα στέλνουν σε ένα διακομιστή ελεγχόμενο από την CIA.

BothanSpy
Το BothanSpy είναι εγκατεστημένο σαν επέκταση Shellterm 3.x στο μηχάνημα στόχο και λειτουργεί μόνο αν τρέχει το Xshell και μόνο σε ενεργές περιόδους σύνδεσης.
Το Xshell είναι ένας ισχυρός εξομοιωτής τερματικών που υποστηρίζει τα πρωτόκολλα SSH, SFTP, TELNET, RLOGIN και SERIAL, παρέχοντας δυναμική προώθησης θύρας, προσαρμοσμένη αντιστοίχιση πλήκτρων (custom key mapping), και VB scripting.
“Για να χρησιμοποιήσετε το BothanSpy σε στόχους που τρέχουν μια έκδοση x64 των Windows, ο loader που χρησιμοποιείται θα πρέπει να υποστηρίζει Wow64 injection,” αναφέρει το εγχειρίδιο χρήσης της CIA που δημοσίευσε το WikiLeaks.
“Το Xshell έρχεται μόνο ως x86 binary, και επομένως το BothanSpy έχει γίνει compiled σαν x86. Το Shellterm 3.0+ υποστηρίζει το Wow64 injection και συνιστάται ιδιαίτερα.”
Gyrfalcon
Το Gyrfalcon στοχεύει συστήματα Linux (32 ή 64 bit kernel) χρησιμοποιώντας ένα JQC/KitV rootkit που αναπτύχθηκε από την CIA για συνεχή πρόσβαση.
Το Gyrfalcon είναι σε θέση να συλλέξει πλήρη ή μερική κυκλοφορία από συνδέσεις OpenSSH και αποθηκεύει τις κλεμμένες πληροφορίες σε ένα κρυπτογραφημένο αρχείο για μεταγενέστερη επεξεργασία.

“Το εργαλείο λειτουργεί με αυτοματοποιημένο τρόπο, έχει ρυθμιστεί εκ των προτέρων, εκτελείται στον απομακρυσμένο κεντρικό υπολογιστή και το αφήνουμε να τρέχει”, αναφέρει το εγχειρίδιο χρήσης του Gyrfalcon v1.0.
“Ορισμένες φορές, ο χειριστής επιστρέφει και δίνει εντολή στο gyrfalcon να ξεκαθαρίσει ότι έχει συλλέξει στο δίσκο. Ο χειριστής ανακτά το αρχείο συλλογής, αποκρυπτογραφεί και αναλύει τα δεδομένα που έχουν συλλεχθεί.”
Το εγχειρίδιο χρήσης που δημοσίευσε το WikiLeaks για το Gyrfalcon v2.0 αναφέρει ότι το εμφύτευμα αποτελείται από “δύο compiled binaries που πρέπει να ανέβουν στην πλατφόρμα προορισμού μαζί με ένα κρυπτογραφημένο αρχείο ρυθμίσεων”.
“Η Gyrfalcon δεν παρέχει υπηρεσίες επικοινωνίας μεταξύ του τοπικού υπολογιστή και του χειριστή. Ο χειριστής θα πρέπει να χρησιμοποιήσει μια τρίτη εφαρμογή για να ανεβάσει αυτά τα τρία αρχεία στο στόχο”.
Να υπενθυμίσουμε ότι το Wikileaks κυκλοφορεί έγγραφα στη σειρά Vault 7 από τις 7 Μαρτίου, εκθέτοντας όλο και περισσότερα εργαλεία των hackers της CIΑ.
Year Zero” η CIΑ εκμεταλλεύεται δημοφιλή hardware και λογισμικό.
Weeping Angel” το εργαλείο κατασκοπείας που χρησιμοποιεί η υπηρεσία για να διεισδύσει σε έξυπνες τηλεοράσεις, μετατρέποντάς τες σε συγκεκαλυμμένα μικρόφωνα.
Dark Matter” exploits που στοχεύουν iPhones και Mac.
Marble” ο πηγαίος κώδικας ενός μυστικού anti-forensic framework. Ουσιαστικά είναι ένα obfuscator που χρησιμοποιεί η CIΑ για να κρύψει την πραγματική πηγή κακόβουλου λογισμικού.
Grasshopper” ένα framework το οποίο επιτρέπει στην υπηρεσία πληροφοριών να δημιουργήσει εύκολα προσαρμοσμένο κακόβουλο λογισμικό για να παραβιάζει Windows της Microsoft και να παρακάμψει κάθε προστασία από ιούς.

“Archimedes”– ένα εργαλείο επίθεσης MitM που φέρεται ότι δημιούργησε η CIΑ για τη στοχοθέτηση υπολογιστών μέσα σε ένα τοπικό δίκτυο (LAN).
Scribbles” ένα software που είναι σχεδιασμένο να προσθέτει ‘web beacons’ σε απόρρητα έγγραφα, για να επιτρέπει τον έλεγχο των διαρροών από τις μυστικές υπηρεσίες.
Athena:έχει σχεδιαστεί για να μπορεί να αποκτήσει απόλυτα τον πλήρη έλεγχο των μολυσμένων υπολογιστών Windows, επιτρέποντας στην CIΑ να εκτελεί πάρα πολλές λειτουργίες στο μηχάνημα-στόχο, όπως διαγραφή δεδομένων ή εγκατάσταση κακόβουλου λογισμικού, κλοπής δεδομένων και αποστολής τους σε servers της CIΑ.
CherryBlossom εργαλείο που παρακολουθεί τη δραστηριότητα στο διαδίκτυο ενός στόχου, να ανακατευθύνει το πρόγραμμα περιήγησης, να ανιχνεύει διευθύνσεις ηλεκτρονικού ταχυδρομείου και αριθμούς τηλεφώνου και πολλά άλλα, μέσω του router.
Brutal Kangaroo: εργαλείο που μπορεί να χρησιμοποιηθεί για να μολύνει air-gapped υπολογιστές με κακόβουλο λογισμικό.
ELSA malware των Windows που χρησιμοποιεί η CIA για τον προσδιορισμό της θέσης ενός συγκεκριμένου χρήστη χρησιμοποιώντας το Wi-Fi του υπολογιστή του.
OutlawCountry: Linux malware που χρησιμοποιεί η CIA για τον προσδιορισμό της θέσης ενός συγκεκριμένου χρήστη χρησιμοποιώντας το Wi-Fi του υπολογιστή του.
BothanSpy – Gyrfalcon: για την κλοπή πιστοποιήσεων SSH από Windows και Linux αντίστοιχα




secnews.gr
Blog Widget by LinkWithin
Related Posts Plugin for WordPress, Blogger...