Mithilfe der Malware-Tools BothanSpy und Gyrfalcon soll der US-Geheimdienst Central Intelligence Agency (CIA) laut Wikileaks in der Lage sein, SSH-Anmeldedaten abzufangen. Das geht aus Unterlagen hervor, die die Whistleblower-Plattform Ende vergangener Woche veröffentlicht hat. Während die Malware BothanSpy Microsofts Windows-Plattform ins Visier nimmt, ist Gyrfalcon auf diverse Linux-Distributionen ausgerichtet.
Neben diesem Collect Mode bietet BothanSpy auch einen sogenannten Forget Mode. In diesem Betriebsmodus werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt.
Das Tool unterstützt „offiziell“ Xshell Version 3 bis 5. Es sei aber auch entwickelt worden, um mit anderen Xshell-Versionen umzugehen. „BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell“, heißt es in dem Support-Dokument der CIA.
Gyrfalcon wiederum ist eine Bibliothek, die dem OpenSSH-Client für Linux untergeschoben wird. Die Schadsoftware späht nicht nur Nutzernamen und Passwörter für SSH-Verbindungen aus, sie kann auch den gesamten Datenverkehr einer Sitzung aufzeichnen. Die CIA weist zudem darauf hin, dass der Betreiber der Malware ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen – ein Hinweis, der beim Windows-Tool BothanSpy fehlt.
Für die Installation der Bibliothek wird zudem das von der CIA entwickelte Rootkit namens JQC/KitV benötigt. Als mögliche Ziele stehen 32-oder 64-Bit-Linux-Versionen zur Verfügung. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob auch neuere Linux-Versionen anfällig sind, ist unklar, da das fragliche CIA-Dokument zuletzt im November 2013 aktualisiert wurde.
Wikileaks weist zudem auf einen wichtigen Unterschied zwischen BothanSpy und Gyrfalcon hin. Während ersteres direkt mit dem Geheimdienst kommunizieren kann, erzeugt letzteres grundsätzlich nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Die zunehmende KI-Verbreitung erschwere die Erkennung von Fälschungen. Gleichzeitig begünstige der Abo-Trend das Aufkommen neuer…
Gemeinsam arbeiten die Konzerne an Ionenfallen, die in Hochleistungs-Quantencomputern zum Einsatz kommen sollen.
Neu entwickeltes Open-Source-System soll Signatur-Umgehungen durch adaptive Missbrauchserkennung transparent machen.
Von mindestens einer Schwachstelle geht ein hohes Sicherheitsrisiko aus. Betroffen sind Chrome für Windows, macOS…
Digitale Währungen haben in nur kurzer Zeit die komplette Finanzlandschaft auf den Kopf gestellt. Mit…
Mindestens eine Anfälligkeit erlaubt eine Remotecodeausführung. Angreifbar sind alle unterstützten Versionen von Android.