- silicon.de - http://www.silicon.de -

CIA-Malware spioniert laut Wikileaks SSH-Anmeldedaten aus

Die CIA, der US-Geheimdienst Central Intelligence Agency, soll laut der Enthüllungsplattform Wikileaks in der Lage sein, SSH-Anmeldedaten abzufragen. Laut Ende vergangener Woche veröffentlichter Dokomuente [1] sollen die beiden Malware-Tools BothanSpy und Gyrfalcon verschiedene Funktionen liefern. BothanSpy zielt auf Windows-Plattform und Gyrfalcon richtet sich gegen mehrere Linux-Distributionen.

CIA (Grafik: CIA) [2]

In dem zwölfseitigen Dokument, das angeblich von der CIA stammen soll und zu Letzt im November 2013 aktualisiert wurde, wird BothanSpy als Tool für den Windows-SSH-Client Xshell beschrieben. Das Spionagetool sei in der Lage, aktive SSH-Verbindungen auszulesen. Diese Informationen werden ohne einen Zwischenspeicher auf der Festplatte direkt an den Geheimdienst übermittelt. Daneben biete BothanSpy auch einen sogenannten Forget Mode. In diesem Betriebsmodus werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt.

Ausgewähltes Webinar

Wie modernes Endgeräte-Backup das Problem der Datenmigration löst

Eine durchschnittliche technische Erneuerung beschäftigt die IT sowie den Benutzer ungefähr 2 ½ Stunden. Das geht aber auch anders. Wie, erfahren Sie in diesem Whitepaper.

Das Tool unterstützt die Xshell-Versionen von 3 bis 5, könne aber auch unter anderen Xshell-Versionen arbeiten. “BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell”, heißt es in dem Support-Dokument der CIA.

Gyrfalcon ist eine Bibliothek, die OpenSSH-Clients für Linux untergeschoben wird. Die Schadsoftware erkennt nicht nur Nutzernamen und Passwörter einer SSH-Verbindung, sondern kann zudem den gesamten Datenverkehr einer Sitzung aufzeichnen. Die CIA weist in dem geleakten Dokument auch darauf hin, dass der Betreiber der Malware [3] ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen – ein Hinweis, der beim Windows-Tool BothanSpy fehlt.

Linux-Malware Gyrfalcon bleibt hinter Windows-Variante zurück

Für die Installation der Bibliothek wird zudem das von der CIA entwickelte Rootkit JQC/KitV benötigt. Mögliche Ziele sind 32-oder 64-Bit-Linux-Versionen. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob neuere Linux-Versionen anfällig sind, ist unklar. 

Ausgewähltes Whitepaper

Nutzen und Vorteile der Integration von ECM- und ERP-Software

Ein ECM-System kann besonders dort eine wichtige Ergänzung zu einer bereits bestehenden ERP-Lösung darstellen, wo geschäftsrelevante Dokumente separat abgelegt und mit ERP-Datensätzen verknüpft werden sollen, um Geschäftsprozesse vollständig digital abbilden zu können. Dieses Whitepaper beschreibt die Vorteile an einem konkreten Beispiel.

Wikileaks weist zudem auf einen wichtigen Unterschied zwischen BothanSpy und Gyrfalcon hin. Während ersteres direkt mit dem Geheimdienst kommunizieren kann, erzeugt letzteres grundsätzlich nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.

[mit Material von Stefan Beiersmann, ZDNet.de [4]]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de. [5]