Mithilfe der Malware-Tools BothanSpy und Gyrfalcon soll der US-Geheimdienst Central Intelligence Agency (CIA) laut Wikileaks in der Lage sein, SSH-Anmeldedaten abzufangen. Das geht aus Unterlagen hervor, die die Whistleblower-Plattform Ende vergangener Woche veröffentlicht hat. Während die Malware BothanSpy Microsofts Windows-Plattform ins Visier nimmt, ist Gyrfalcon auf diverse Linux-Distributionen ausgerichtet.
Neben diesem Collect Mode bietet BothanSpy auch einen sogenannten Forget Mode. In diesem Betriebsmodus werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt.
Das Tool unterstützt „offiziell“ Xshell Version 3 bis 5. Es sei aber auch entwickelt worden, um mit anderen Xshell-Versionen umzugehen. „BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell“, heißt es in dem Support-Dokument der CIA.
Gyrfalcon wiederum ist eine Bibliothek, die dem OpenSSH-Client für Linux untergeschoben wird. Die Schadsoftware späht nicht nur Nutzernamen und Passwörter für SSH-Verbindungen aus, sie kann auch den gesamten Datenverkehr einer Sitzung aufzeichnen. Die CIA weist zudem darauf hin, dass der Betreiber der Malware ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen – ein Hinweis, der beim Windows-Tool BothanSpy fehlt.
Für die Installation der Bibliothek wird zudem das von der CIA entwickelte Rootkit namens JQC/KitV benötigt. Als mögliche Ziele stehen 32-oder 64-Bit-Linux-Versionen zur Verfügung. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob auch neuere Linux-Versionen anfällig sind, ist unklar, da das fragliche CIA-Dokument zuletzt im November 2013 aktualisiert wurde.
Wikileaks weist zudem auf einen wichtigen Unterschied zwischen BothanSpy und Gyrfalcon hin. Während ersteres direkt mit dem Geheimdienst kommunizieren kann, erzeugt letzteres grundsätzlich nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
