У документах, отриманих у результаті витоку даних із закритої мережі ЦРУ та розміщених на WikiLeaks, приводяться відомості про BothanSpy та Gyrfalcon – проекти по встановленню шкідливого ПЗ на системи користувачів. Оба проекти забезпечують перехват даних аутентифікації, що фігурують при встановленні захищених сеансів за протоколом SSH.
Gyrfalcon націлений на збір параметрів аутентифікації (вхід / пароль, закриті SSH-ключі та паролі до SSH-ключів) у клієнтів OpenSSH, а також підтримує режим повного або вибіркового збереження вмісту SSH-сеансів і може виконувати підставляння команд у сеансах. Вся накопичена інформація шифрується і зберігається в файл для подальшого відправлення на зовнішній сервер, підконтрольний ЦРУ.
Передача зібраних даних здійснюється за допомогою інших засобів – Gyrfalcon забезпечує лише накопичення даних. Варіанти Gyrfalcon підготовлені для RHEL, CentOS, Debian, openSUSE і Ubuntu. Імплантат встановлюється в систему після отримання привілейованого доступу, наприклад після атаки з використанням невиправлених уразливостей або через вхід під перехопленим обліковим записом.
Описується два варіанти імплантат:
-
Gyrfalcon1 запускається у вигляді фонового процесу, який працює з правами root та використовує для отримання контролю за процесами штатного системного SSH-клієнта. Після активації Gyrfalcon стежить за запуск нових процесів і в разі виявлення SSH-клієнта підключається до нього за допомогою ptrace. Робота виконується в пасивному режимі. Додатково постачається Python-скрипт для налаштування роботи та визначення правил перенаправлення трафіку.
-
Gyrfalcon2 оформлений у вигляді бібліотеки, яка встановлюється в систему замість штатної бібліотеки libgssapi.so або завантажується через LD_PRELOAD в адресний простір клієнта OpenSSH і захоплює деякі оброблювачі. У набір також входить додаток, який взаємодіє з бібліотекою та отримує від неї інформацію. Імплантат розрахований на постачання разом з руткітом JQC / KitV, який забезпечує його приховування та активацію.
Другий бекдор BothanSpy близький за своїм можливостям до Gyrfalcon, і відрізняється тим, що націлений на спостереження за користувачами Windows через підміну SSH-клієнта Xshell. Бекдор встановлюється в систему під виглядом розширення Shellterm 3.x і діє тільки для SSH-сеансів, що здійснюються через термінали Xshell.
Ще немає коментарів