WikiLeaks vient de dévoiler de nouveaux outils de la CIA, BothanSpy et Gyrfalcon. Ils permettent de compromettre une communication sécurisée SSH sous Windows ou Linux. En clair, leur fonction est de voler les identifiants de session SSH sur une machine.
Dans le cadre de sa mission de dévoiler les outils, les techniques et les procédés de la CIA pour espionner la planète, WikiLeaks publie de nouveaux documents. Ils révèlent des outils de piratage de la CIA. Ils visent les clients SSH Windows et Linux.
BothanSpy et Gyrfalcon ont été conçus pour dérober les informations d’identification des utilisateurs durant des sessions SSH actives sous Windows et Linux.
BothanSpy s’attaque à Windows
BothanSpy s’attaque à Xshell, un client SSH populaire sous Windows. L’outil permet à la CIA de voler un tas d’informations très confidentielles comme le nom d’utilisateur et le mot de passe d’une session SSH authentifiée par mot de passe, le nom du fichier de la clé privée SSH et la clé dans le cas d’une authentification par clé publique. Il est expliqué
« BothanSpy peut exfiltrer les informations d’identification volées à un serveur contrôlé par la CIA (de sorte que l’implant ne touche jamais l’unité de stockage sur le système cible) ou enregistrez les données dans un fichier chiffré pour une exfiltration ultérieure par d’autres moyens. BothanSpy est installé sous la forme d’une extension Shellterm 3.x sur la machine cible »
SSH
Le SSH est l’abréviation de Secure Shell. Il s’agit d’un protocole de communication sécurisé. La communication est assurée par un échange de clés de chiffrement en début de connexion. Ainsi les données transmises par TCP sont authentifiées et chiffrées. Le TCP alias le Transmission Control Protocol a pour objectif de découper le flux d’octets en segments dont la taille varie en fonction de la taille maximale d’un paquet pouvant être transmis en une opération. Nous parlons ici de MTU, Maximum Transmission Unit
Gyrfalcon s’attaque à linux mais à une condition
De son côté Gyrfalcon est un outil de piratage destiné au client OpenSSH pour Linux. Ceci concerne donc toutes les distributions populaires comme SUSE ou Ubuntu. Des informations d’identification de l’utilisateur peuvent être volées. WikiLeaks souligne cependant que le dispositif peut usurper d’autres données avant que l’ensemble soit compilé dans un fichier chiffré. Il est ensuite rapatrié par la CIA.
«L’implant ne vole pas seulement des informations d’identification de l’utilisateur d’une session SSH actives, il collecte aussi trafic total ou partiel d’une session OpenSSH. Toutes les informations collectées sont stockées dans un fichier chiffré pour une exfiltration ultérieure. Il est installé et configuré en utilisant un kit racine développé par la CIA (JQC / KitV) sur la machine cible »
Cette dernière information est intéressante car la CIA ne peut utiliser Gyrfalcon qu’après avoir compromis le système Linux avec un rootkit. L’agence dispose bien évidemment du nécessaire mais cela complique l’affaire.