Wikileaks: CIA-Malware BothanSpy und Gyrfalcon stehlen SSH-Anmeldedaten

Mithilfe der Malware-Tools BothanSpy und Gyrfalcon soll der US-Geheimdienst Central Intelligence Agency (CIA) laut Wikileaks in der Lage sein, SSH-Anmeldedaten abzufangen. Das geht aus Unterlagen hervor, die die Whistleblower-Plattform Ende vergangener Woche veröffentlicht hat. Während die Malware BothanSpy Microsofts Windows-Plattform ins Visier nimmt, ist Gyrfalcon auf diverse Linux-Distributionen ausgerichtet.

Ein zwölfseitiges Dokument, das von der CIA stammen soll, beschreibt BothanSpy als Spionagetool für den Windows-SSH-Client Xshell. Es ist demnach in der Lage, Anmeldedaten aller aktiven SSH-Verbindungen auszulesen und an den Geheimdienst zu übermitteln, ohne dass diese Daten zwischenzeitlich auf der Festplatte gespeichert werden müssen.

Neben diesem Collect Mode bietet BothanSpy auch einen sogenannten Forget Mode. In diesem Betriebsmodus werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt.

Das Tool unterstützt „offiziell“ Xshell Version 3 bis 5. Es sei aber auch entwickelt worden, um mit anderen Xshell-Versionen umzugehen. „BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell“, heißt es in dem Support-Dokument der CIA.

Gyrfalcon wiederum ist eine Bibliothek, die dem OpenSSH-Client für Linux untergeschoben wird. Die Schadsoftware späht nicht nur Nutzernamen und Passwörter für SSH-Verbindungen aus, sie kann auch den gesamten Datenverkehr einer Sitzung aufzeichnen. Die CIA weist zudem darauf hin, dass der Betreiber der Malware ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen – ein Hinweis, der beim Windows-Tool BothanSpy fehlt.

Linux-Malware Gyrfalcon nicht so leistungsstark wie die Windows-Variante

Für die Installation der Bibliothek wird zudem das von der CIA entwickelte Rootkit namens JQC/KitV benötigt. Als mögliche Ziele stehen 32-oder 64-Bit-Linux-Versionen zur Verfügung. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob auch neuere Linux-Versionen anfällig sind, ist unklar, da das fragliche CIA-Dokument zuletzt im November 2013 aktualisiert wurde.

Wikileaks weist zudem auf einen wichtigen Unterschied zwischen BothanSpy und Gyrfalcon hin. Während ersteres direkt mit dem Geheimdienst kommunizieren kann, erzeugt letzteres grundsätzlich nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Ohne Passwort-Management keine IT-Sicherheit

Neben hochentwickelten Firewalls und Authentifizierungsverfahren spielt eine möglichst hohe Passwortsicherheit eine entscheidende Rolle für die…

23 Stunden ago

Starke Leistung im kompakten Desktop-PC | MSI Business & Productivity Desktop-PCs für vielseitige Anwendungen

Ein klassischer Desktop-PC im Tower-Format ist nicht für jeden geeignet, besonders bei begrenztem Arbeitsraum. MSI…

1 Tag ago

Silicon Security Day Europe

Wie kann Künstliche Intelligenz helfen, den Krieg gegen Ransomware und "Nukleare" Ransomware 3.0 zu gewinnen?

1 Tag ago

Silicon Security Day Austria

Beim Silicon Security Day in Österreich am 2. Juni 2022 ab 9:45 Uhr dreht sich…

1 Tag ago

ONLYOFFICE kündigt umfangreiches Update für Kollaborationsplattform und Dokumenten-Editoren an

Die quelloffene Online-Office-Lösung ONLYOFFICE kündigt ein umfangreiches Update für ihre Kollaborationsplattform (ONLYOFFICE Workspace 12.0) und…

1 Tag ago

VeeamON: Veeam wird Marktführer bei Data Protection

Auf der Konferenz VeeamON zeigt sich Veeam sehr optimistisch. Die Zahlen unabhängiger Marktforscher bestätigen den…

2 Tagen ago