Wikileaks: CIA-Malware BothanSpy und Gyrfalcon stehlen SSH-Anmeldedaten

Mithilfe der Malware-Tools BothanSpy und Gyrfalcon soll der US-Geheimdienst Central Intelligence Agency (CIA) laut Wikileaks in der Lage sein, SSH-Anmeldedaten abzufangen. Das geht aus Unterlagen hervor, die die Whistleblower-Plattform Ende vergangener Woche veröffentlicht hat. Während die Malware BothanSpy Microsofts Windows-Plattform ins Visier nimmt, ist Gyrfalcon auf diverse Linux-Distributionen ausgerichtet.

Ein zwölfseitiges Dokument, das von der CIA stammen soll, beschreibt BothanSpy als Spionagetool für den Windows-SSH-Client Xshell. Es ist demnach in der Lage, Anmeldedaten aller aktiven SSH-Verbindungen auszulesen und an den Geheimdienst zu übermitteln, ohne dass diese Daten zwischenzeitlich auf der Festplatte gespeichert werden müssen.

Neben diesem Collect Mode bietet BothanSpy auch einen sogenannten Forget Mode. In diesem Betriebsmodus werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt.

Das Tool unterstützt „offiziell“ Xshell Version 3 bis 5. Es sei aber auch entwickelt worden, um mit anderen Xshell-Versionen umzugehen. „BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell“, heißt es in dem Support-Dokument der CIA.

Gyrfalcon wiederum ist eine Bibliothek, die dem OpenSSH-Client für Linux untergeschoben wird. Die Schadsoftware späht nicht nur Nutzernamen und Passwörter für SSH-Verbindungen aus, sie kann auch den gesamten Datenverkehr einer Sitzung aufzeichnen. Die CIA weist zudem darauf hin, dass der Betreiber der Malware ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen – ein Hinweis, der beim Windows-Tool BothanSpy fehlt.

Linux-Malware Gyrfalcon nicht so leistungsstark wie die Windows-Variante

Für die Installation der Bibliothek wird zudem das von der CIA entwickelte Rootkit namens JQC/KitV benötigt. Als mögliche Ziele stehen 32-oder 64-Bit-Linux-Versionen zur Verfügung. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob auch neuere Linux-Versionen anfällig sind, ist unklar, da das fragliche CIA-Dokument zuletzt im November 2013 aktualisiert wurde.

Wikileaks weist zudem auf einen wichtigen Unterschied zwischen BothanSpy und Gyrfalcon hin. Während ersteres direkt mit dem Geheimdienst kommunizieren kann, erzeugt letzteres grundsätzlich nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Chinesische Hacker schieben Microsoft schädliche Azure Active Directory Apps unter

Sie setzen insgesamt 18 Anwendungen bis April 2020 für Angriffe auf nicht genannte Ziele ein.…

2 Tagen ago

Schlafende Tabs: Microsoft reduziert Stromverbrauch seines Browsers Edge

Tests zufolge sinkt die Speicherauslastung um durchschnittlich 26 Prozent. Die CPU-Nutzung geht um 29 Prozent…

2 Tagen ago

Apple behebt Fehler in macOS 10.15 Catalina und iOS 14

Unter iOS und iPadOS lassen sich Standardanwendungen für Browser und E-Mail nun dauerhaft einrichten. Auch…

3 Tagen ago

IAM-Lösung von Beta Systems bei der Thüringer Aufbaubank

Die Beta Systems Software AG setzt in einem IAM-Projekt bei der Thüringer Aufbaubank Rollenkonzepte mit…

3 Tagen ago

AgeLocker-Ransomware stiehlt Daten von QNAP-NAS-Geräten

Die Erpressersoftware ist seit rund einem Monat aktiv. Sie nutzt den Verschlüsselungsalgorithmus Actually Good Encryption.…

3 Tagen ago

Microsoft warnt vor aktiven Angriffen auf Zerologon-Lücke

Hacker nehmen Exploits für die Schwachstelle in ihr Waffenarsenal auf. Für US-Behörden wird der verfügbare…

3 Tagen ago