Wikileaks desvela implantes de la CIA para robar credenciales SSH

Un nuevo informe de Wikileaks nos muestra algunas de las capacidades de los servicios de inteligencia estadounidenses, a la hora de robar información. En este caso de comunicaciones realizadas mediante protocolo SSH, tanto en Windows como Linux.

En el caso de Windows el implante se llama BothanSpy, mientras que para nuestro sistema operativo favorito, disponemos de Gyrfalcon en dos diferentes versiones (1.0/2.0).

En esta ocasión la CIA se han currado el soporte de su software y así vemos que es compatible con un buen número de distribuciones GNU/Linux: Ubuntu, SUSE, Centos, RHEL y Debian, tanto arquitecturas de 32 como 64 bits.

Gyrfalcon necesita permisos de root para su instalación –y como solemos decir: una vez tienen eso, ciao–, pero no para su ejecución.

En cualquier caso me gusta esta advertencia, proveniente de uno de sus manuales:

El operador debe estar seguro de su comprensión de Linux para usar privilegios de root y no arruinar la configuración de la plataforma Linux.

Es un detalle. Un gran poder implica una gran responsabilidad.

Las dos versiones del software trabajan de manera diferente.

En ambas la información –compuesta de credenciales y tráfico OpenSSH de cada sesión– es guardada en un archivo cifrado dentro del sistema para su posterior extracción, algo que tiene que hacerse con una tercera aplicación. Ello se debe a que Gyrfalcon no provee de ningún tipo de comunicación, entre el atacante y la plataforma que es objetivo.

Gyrfalcon 1.0 utiliza ptrace para obtener el control del sistema en sesiones SSH (SELinux podría impedir eso) ejecutándose en segundo plano y creando nuevos archivos de configuración. Los datos recogidos se almacenan en forma de código python (un diccionario), para su posterior estudio.

Mientras tanto Gyrfalcon 2.0 hace uso de un misterioso rootkit llamado JQC/KitV para su ejecución y ocultación, sustituyendo a una biblioteca llamada libgssapi.so. También consta de un par de scripts en Python (enconfig.py y postproc.py) que facilitan su configuración y todo el proceso de cifrado/descifrado.

En cualquier caso ambos programas necesitan la instalación de bibliotecas y software adicional (SWIG, M2Crypt), que no siempre vienen de forma predeterminada en nuestra distro.

Unos cambios que podemos detectar rápidamente si echamos un vistazo a los logs de instalación de software. Eso siempre que no hayan sido modificados (por ej. en Arch Linux sería el archivo /var/log/pacman.log). Algo que el atacante puede hacer ya que desde un principio tenía las credenciales de root (porque será que la parte más divertida del asunto nunca nos la explican).

Señalar que Gyrfalcon también presenta algunos problemas de persistencia, tras el apagado o reinicio de sesión.

Más información en la web de wikileaks, incluyendo los manuales para Gyrfalcol y también de BothanSpy, si os interesa algo lo que pasa en Windows.

Al igual que decíamos con OutlawCountry no estaría mal poder echarle un vistazo al código fuente de ambos programas.

Si la NSA tiene cuenta en GitHub no veo porque la CIA no. Ahí lo dejo, amigos de Langley 😉