Die Malware-Tools
Es sind kürzlich veröffentlichte Dokumente, die wieder mal Spionage-Tools der CIA aufdeckten. Laut der Enthüllungsplattform Wikileaks sollen die Werkzeuge in der Lage sein SSH-Anmeldedaten abzufragen, wie silicon.de dazu informierte. Die Spionage ist möglich mittels der beiden Malware-Tools BothanSpy und Gyrfalcon. Während BothanSpy auf Windows-Plattformen abzielt richtet sich Gyrfalcon gegen mehrere Linux-Distributionen.
BothanSpy
BothanSpy wird als Tool für den Windows-SSH-Client Xshell beschrieben. Das Spionagetool sei in der Lage, aktive SSH-Verbindungen auszulesen. Diese Informationen werden ohne einen Zwischenspeicher auf der Festplatte direkt an den Geheimdienst übermittelt. Mit einem Forget Mode werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt. Wie es weiter dazu in einem Support-Dokument der CIA heißt, unterstützt das Tool die Xshell-Versionen von 3 bis 5, könne aber auch unter anderen Xshell-Versionen arbeiten.
“BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell”
Gyrfalcon
Gyrfalcon ist hingegen eine Bibliothek, die die OpenSSH-Clients für Linux untergeschoben wird. Der Schädling erkennt Nutzernamen und Passwörter einer SSH-Verbindung und ist in der Lage den gesamten Datenverkehr einer Sitzung aufzeichnen. Wobei die CIA im Zusammenhang mit Gyrfalcon daraufhin weist, dass der Betreiber der Malware ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen. Die Installation der Bibliothek erfordert das von der CIA entwickelte Rootkit JQC/KitV.
Ziele der Schadsoftware sind 32-oder 64-Bit-Linux-Versionen. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob neuere Linux-Versionen anfällig sind, ist unklar.
Wichtige Unterschiede der Tools
Laut Wikileaks bestehen zwischen den Tools BothanSpy und Gyrfalcon wichtige Unterschiede. Während BothanSpy direkt mit dem Geheimdienst kommunizieren kann, erzeugt Gyrfalcon generell nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.
