Wikileaks desvela implantes de la CIA para robar credenciales SSH

Un nuevo informe de Wikileaks nos muestra algunas de las capacidades de los servicios de inteligencia estadounidenses, a la hora de robar información. En este caso de comunicaciones realizadas mediante protocolo SSH, tanto en Windows como Linux.

En el caso de Windows el implante se llama BothanSpy, mientras que para nuestro sistema operativo favorito, disponemos de Gyrfalcon en dos diferentes versiones (1.0/2.0).

En esta ocasión la CIA se han currado el soporte de su software y así vemos que es compatible con un buen número de distribuciones GNU/Linux: Ubuntu, SUSE, Centos, RHEL y Debian, tanto arquitecturas de 32 como 64 bits.

Gyrfalcon necesita permisos de root para su instalación –y como solemos decir: una vez tienen eso, ciao–, pero no para su ejecución.

En cualquier caso me gusta esta advertencia, proveniente de uno de sus manuales:

El operador debe estar seguro de su comprensión de Linux para usar privilegios de root y no arruinar la configuración de la plataforma Linux.

Es un detalle. Un gran poder implica una gran responsabilidad.

Las dos versiones del software trabajan de manera diferente.

En ambas la información –compuesta de credenciales y tráfico OpenSSH de cada sesión– es guardada en un archivo cifrado dentro del sistema para su posterior extracción, algo que tiene que hacerse con una tercera aplicación. Ello se debe a que Gyrfalcon no provee de ningún tipo de comunicación, entre el atacante y la plataforma que es objetivo.

Gyrfalcon 1.0 utiliza ptrace para obtener el control del sistema en sesiones SSH (SELinux podría impedir eso) ejecutándose en segundo plano y creando nuevos archivos de configuración. Los datos recogidos se almacenan en forma de código python (un diccionario), para su posterior estudio.

Mientras tanto Gyrfalcon 2.0 hace uso de un misterioso rootkit llamado JQC/KitV para su ejecución y ocultación, sustituyendo a una biblioteca llamada libgssapi.so. También consta de un par de scripts en Python (enconfig.py y postproc.py) que facilitan su configuración y todo el proceso de cifrado/descifrado.

En cualquier caso ambos programas necesitan la instalación de bibliotecas y software adicional (SWIG, M2Crypt), que no siempre vienen de forma predeterminada en nuestra distro.

Unos cambios que podemos detectar rápidamente si echamos un vistazo a los logs de instalación de software. Eso siempre que no hayan sido modificados (por ej. en Arch Linux sería el archivo /var/log/pacman.log). Algo que el atacante puede hacer ya que desde un principio tenía las credenciales de root (porque será que la parte más divertida del asunto nunca nos la explican).

Señalar que Gyrfalcon también presenta algunos problemas de persistencia, tras el apagado o reinicio de sesión.

Más información en la web de wikileaks, incluyendo los manuales para Gyrfalcol y también de BothanSpy, si os interesa algo lo que pasa en Windows.

Al igual que decíamos con OutlawCountry no estaría mal poder echarle un vistazo al código fuente de ambos programas.

Si la NSA tiene cuenta en GitHub no veo porque la CIA no. Ahí lo dejo, amigos de Langley 😉

4 thoughts on “Wikileaks desvela implantes de la CIA para robar credenciales SSH”

  1. carlosky77 says:

    Veo que a Avery Bullock no para de espiarnos, aunque poidría ser Roger la persona que está detrás de todo esto.
    La fuga de información seguramente viene del computador de Stan Smith, obtenido a través de su hija Hayley

  2. Cifugirl says:

    No parece haber mucha vulnerabilidad ahí, yo hace años que sabía que con “ptrace” o “strace” era eso posible.
    Además bien fácil, para ejemplo un botón: Visualizar / Espiar / Registrar en tiempo real una sesión SSH entrante (strace): https://www.busindre.com/espiar_monitorizar_registrar_sesiones_ssh

    Ese truco se puede extrapolar a cualquier otro programa,.. de cifrado de disco, mensajería,.. lo que sea. Como bien has dicho, una vez tienes root,..

  3. mzmz says:

    lo que esta claro sea como sea el pulpo de la NSA o la CIA o el govierno de turno sea el de egipto, turquia, españa, colombia. brasil, mexico etc etc etc buscan comprometer los sistemas sea como sea
    y en consecuencia perseguir a periodistas y quien no se pliega al poder politico y economico.

    http://www.elladodelmal.com/2015/07/hacked-hacking-team-espana-brasil.html

    http://www.animalpolitico.com/2017/06/abc-espionaje-periodistas/

    https://hipertextual.com/2017/06/gobierno-espia-espionaje-mexico

    https://internacional.elpais.com/internacional/2016/04/01/america/1459533039_924819.html

    http://www.telesurtv.net/news/Hacker-revela-como-la-derecha-manipulo-elecciones-en-America-Latina-20160401-0063.html

    esto va en serio,

    para dificultarles la vida a las agencias usemos:

    Tails, Pidgin-otr, Qtox, Utox, Ricochet, Tormessenger, Gpg, Replicant, Truecrypt, Veracrypt,

    entre otros

    Saludos

  4. indiolinux says:

    Siempre que leo eseto se me ocurre lo mismo: no faltan los que postean que les da desconfianza es china o rusia…levan tantos años tragando propaganda que ni wikileaks les abre la mente

Deja un comentario