CIA-Malware spioniert laut Wikileaks SSH-Anmeldedaten aus

CIA (Grafik: CIA)

Auf Linux- und Windows-Systemen kann die CIA über zwei Schädlinge SSH-Daten auslesen und auch die gesamte Kommunikation über das Protokoll überwachen.

Die CIA, der US-Geheimdienst Central Intelligence Agency, soll laut der Enthüllungsplattform Wikileaks in der Lage sein, SSH-Anmeldedaten abzufragen. Laut Ende vergangener Woche veröffentlichter Dokomuente sollen die beiden Malware-Tools BothanSpy und Gyrfalcon verschiedene Funktionen liefern. BothanSpy zielt auf Windows-Plattform und Gyrfalcon richtet sich gegen mehrere Linux-Distributionen.

CIA (Grafik: CIA)

In dem zwölfseitigen Dokument, das angeblich von der CIA stammen soll und zu Letzt im November 2013 aktualisiert wurde, wird BothanSpy als Tool für den Windows-SSH-Client Xshell beschrieben. Das Spionagetool sei in der Lage, aktive SSH-Verbindungen auszulesen. Diese Informationen werden ohne einen Zwischenspeicher auf der Festplatte direkt an den Geheimdienst übermittelt. Daneben biete BothanSpy auch einen sogenannten Forget Mode. In diesem Betriebsmodus werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Das Tool unterstützt die Xshell-Versionen von 3 bis 5, könne aber auch unter anderen Xshell-Versionen arbeiten. “BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell”, heißt es in dem Support-Dokument der CIA.

Gyrfalcon ist eine Bibliothek, die OpenSSH-Clients für Linux untergeschoben wird. Die Schadsoftware erkennt nicht nur Nutzernamen und Passwörter einer SSH-Verbindung, sondern kann zudem den gesamten Datenverkehr einer Sitzung aufzeichnen. Die CIA weist in dem geleakten Dokument auch darauf hin, dass der Betreiber der Malware ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen – ein Hinweis, der beim Windows-Tool BothanSpy fehlt.

Linux-Malware Gyrfalcon bleibt hinter Windows-Variante zurück

Für die Installation der Bibliothek wird zudem das von der CIA entwickelte Rootkit JQC/KitV benötigt. Mögliche Ziele sind 32-oder 64-Bit-Linux-Versionen. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob neuere Linux-Versionen anfällig sind, ist unklar. 

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Wikileaks weist zudem auf einen wichtigen Unterschied zwischen BothanSpy und Gyrfalcon hin. Während ersteres direkt mit dem Geheimdienst kommunizieren kann, erzeugt letzteres grundsätzlich nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.