Wikileaks reveló este jueves otras dos herramientas informáticas que utiliza la Agencia Central de Inteligencia (CIA) de Estados Unidos para hackear credenciales SSH (Secure Shell) en ordenadores Windows y Linux.
Se trata de BothanSpy y Gyrfalcon, programas diseñados para los sistemas Windows y Linux, respectivamente, con el fin de tener acceso a datos cifrados de servidores o sitios web.
BothanSpy, es un implante que funciona como un malware y tiene el mismo nombre que los políticos y espías de Star Wars (Guerra de las Galaxias), tiene como objetivo robar los datos de los clientes SSH Xshell de Microsoft Windows, en concreto el «nombre de usuario y contraseña en caso de sesiones SSH autenticadas por contraseña o nombre de usuario, nombre de archivo de la clave SSH privada y contraseña de clave si se utiliza la autenticación de clave pública», informó Wikileaks en un comunicado.
La herramienta se instalaba fácilmente en sistemas con versiones de 32 bits, mientras que en los de 64 bits es necesario usar un loader con soporte para inyecciones Wow64.
En el caso de Gyrfalcon, la herramienta está dirigida para los ordenadores con un sistema operativo Linux, como CentOS, Debian, SUSE, Ubuntu o Red Hat Enterprise Linux. El modus operandi tras el hackeo de las credenciales OpenSSH es parecido al utilizado en BothanSpy aunque para ser que se pudiera configurar e instalar era necesario un kit desarrollado por la CIA, el JQC / KitV. También podía recoger una parte o la totalidad del tráfico de la sesión OpenSSH activa.
Las credenciales SSH robadas pueden enviarse a un servidor controlado por la CIA o guardarse en un archivo encriptado para ser liberado posteriormente con otros métodos, como otras herramientas de control remoto o accediendo físicamente al dispositivo.
Para ser más precisos, SSH es la abreviación de Secure Shell, un protocolo que facilita comunicaciones seguras entre un cliente y un servidor, ya que, a diferencia de FTP o Telnet, las sesiones SSH están cifradas. Los datos de SSH son detalles de ingreso como la dirección del servidor, el número del puerto, el nombre de usuario y la contraseña.
La fecha de la versión 1.0 de BothanSpy (la única disponible) data de marzo de 2015, unos pocos meses antes de que Windows 10 fuese lanzado al mercado. En el caso de Gyrfalcon, su antigüedad es algo mayor, y su fecha data de noviembre de 2013 para la versión 2.0 (la última disponible). La primera versión de la herramienta para Linux data de enero de 2013.
La revelación de estos dos programas espías son parte de una nueva entrega de los documentos de la CIA que forman parte del llamado proyecto Vault 7.
La primera entrega de Vault 7 fue publicada en marzo y contenía 8.761 documentos. La publicación anterior, dedicada al malware de la CIA que revela la ubicación geográfica de dispositivos compatibles con Wi-Fi, tuvo lugar el 28 de junio.
Con información de RT, Hipertextual y ADSLZONE
JA