Wikileaks: CIA-Malware BothanSpy und Gyrfalcon stehlen SSH-Anmeldedaten

Mithilfe der Malware-Tools BothanSpy und Gyrfalcon soll der US-Geheimdienst Central Intelligence Agency (CIA) laut Wikileaks in der Lage sein, SSH-Anmeldedaten abzufangen. Das geht aus Unterlagen hervor, die die Whistleblower-Plattform Ende vergangener Woche veröffentlicht hat. Während die Malware BothanSpy Microsofts Windows-Plattform ins Visier nimmt, ist Gyrfalcon auf diverse Linux-Distributionen ausgerichtet.

Ein zwölfseitiges Dokument, das von der CIA stammen soll, beschreibt BothanSpy als Spionagetool für den Windows-SSH-Client Xshell. Es ist demnach in der Lage, Anmeldedaten aller aktiven SSH-Verbindungen auszulesen und an den Geheimdienst zu übermitteln, ohne dass diese Daten zwischenzeitlich auf der Festplatte gespeichert werden müssen.

Neben diesem Collect Mode bietet BothanSpy auch einen sogenannten Forget Mode. In diesem Betriebsmodus werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt.

Das Tool unterstützt „offiziell“ Xshell Version 3 bis 5. Es sei aber auch entwickelt worden, um mit anderen Xshell-Versionen umzugehen. „BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell“, heißt es in dem Support-Dokument der CIA.

Gyrfalcon wiederum ist eine Bibliothek, die dem OpenSSH-Client für Linux untergeschoben wird. Die Schadsoftware späht nicht nur Nutzernamen und Passwörter für SSH-Verbindungen aus, sie kann auch den gesamten Datenverkehr einer Sitzung aufzeichnen. Die CIA weist zudem darauf hin, dass der Betreiber der Malware ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen – ein Hinweis, der beim Windows-Tool BothanSpy fehlt.

Linux-Malware Gyrfalcon nicht so leistungsstark wie die Windows-Variante

Für die Installation der Bibliothek wird zudem das von der CIA entwickelte Rootkit namens JQC/KitV benötigt. Als mögliche Ziele stehen 32-oder 64-Bit-Linux-Versionen zur Verfügung. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob auch neuere Linux-Versionen anfällig sind, ist unklar, da das fragliche CIA-Dokument zuletzt im November 2013 aktualisiert wurde.

Wikileaks weist zudem auf einen wichtigen Unterschied zwischen BothanSpy und Gyrfalcon hin. Während ersteres direkt mit dem Geheimdienst kommunizieren kann, erzeugt letzteres grundsätzlich nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

KI-gestütztes Programmieren bringt IT-Herausforderungen mit sich

OutSystems-Studie: 62 Prozent der Befragten haben Sicherheits- und Governance-Bedenken bei Softwareentwicklung mit KI-Unterstützung.

13 Stunden ago

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

4 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

5 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

5 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

5 Tagen ago