WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Công cụ của CIA được dùng để đánh cắp thông tin đăng nhập qua SSH
WikiLeaks vừa công bố các tài liệu chi tiết về BothanSpy và Gyrfalcon, các công cụ bị cáo buộc được sử dụng bởi Cơ quan tình báo trung ương Mỹ (CIA) để đánh cắp các thông tin đăng nhập qua giao thức SSH trên Windows và Linux.
BothanSpy là công cụ đánh cắp thông tin đăng nhập cho các phiên SSH hoạt động từ Xshell, SSH, telnet và giả lập terminal đăng nhập từ xa trên Windows.
Sử dụng cách thức “Fire and Collect”, BothanSpy thu thập thông tin đăng nhập SSH và gửi về server của kẻ tấn công mà không cần ghi dữ liệu lên ổ đĩa của máy bị xâm nhập. Còn nếu sử dụng “Fire and Forget”, thông tin đăng nhập bị đánh cắp được ghi lên file trên ổ đĩa.
Một công cụ khác, Gyrfalcon 2.0 dùng để đánh cắp thông tin đăng nhập SSH từ OpenSSH client trên nền tảng Linux.
Gyrfalcon là thư viện được tải vào không gian địa chỉ theo tiến trình OpenSSH client, dùng để thu thập lưu lượng phiên OpenSSH, bao gồm tên đăng nhập, mật khẩu, nén và mã hóa dữ liệu, sau đó lưu trong file. Ứng dụng của bên thứ ba được yêu cầu phải trích xuất file.
Tài liệu về Gyrfalcon 2.0 khuyến cáo người dùng phải có nhận thức toàn diện về giao diện dòng lệnh Linux/UNIX và các quy trình chuẩn khi che giấu hoạt động của mình trong những shell nhất định.
Trước đó WikiLeaks cũng đã công bố một số công cụ bị cáo buộc được sử dụng bởi CIA bao gồm: OutlawCountry – chuyển hướng lưu lượng truy cập trên Linux, Pandemic – phán tán malware trong mạng của một tổ chức, Elsa - định vị người dùng thông qua thiết bị Wi-Fi, Cherry Blosroom – hack các router và điểm truy cập và Brutal Kangaroo – truy cập mạng lưới air-gap.
Mối liên hệ giữa các công cụ do WikiLeaks tiết lộ đã được tìm thấy và malware được sử đụng bằng tên của tổ chức gián điệp mạng “Longhorn” và “The Lamberts”
Sử dụng cách thức “Fire and Collect”, BothanSpy thu thập thông tin đăng nhập SSH và gửi về server của kẻ tấn công mà không cần ghi dữ liệu lên ổ đĩa của máy bị xâm nhập. Còn nếu sử dụng “Fire and Forget”, thông tin đăng nhập bị đánh cắp được ghi lên file trên ổ đĩa.
Một công cụ khác, Gyrfalcon 2.0 dùng để đánh cắp thông tin đăng nhập SSH từ OpenSSH client trên nền tảng Linux.
Gyrfalcon là thư viện được tải vào không gian địa chỉ theo tiến trình OpenSSH client, dùng để thu thập lưu lượng phiên OpenSSH, bao gồm tên đăng nhập, mật khẩu, nén và mã hóa dữ liệu, sau đó lưu trong file. Ứng dụng của bên thứ ba được yêu cầu phải trích xuất file.
Tài liệu về Gyrfalcon 2.0 khuyến cáo người dùng phải có nhận thức toàn diện về giao diện dòng lệnh Linux/UNIX và các quy trình chuẩn khi che giấu hoạt động của mình trong những shell nhất định.
Trước đó WikiLeaks cũng đã công bố một số công cụ bị cáo buộc được sử dụng bởi CIA bao gồm: OutlawCountry – chuyển hướng lưu lượng truy cập trên Linux, Pandemic – phán tán malware trong mạng của một tổ chức, Elsa - định vị người dùng thông qua thiết bị Wi-Fi, Cherry Blosroom – hack các router và điểm truy cập và Brutal Kangaroo – truy cập mạng lưới air-gap.
Mối liên hệ giữa các công cụ do WikiLeaks tiết lộ đã được tìm thấy và malware được sử đụng bằng tên của tổ chức gián điệp mạng “Longhorn” và “The Lamberts”
Theo SecurityWeek
Chỉnh sửa lần cuối: