Categories: Politik

CIA-Malware spioniert laut Wikileaks SSH-Anmeldedaten aus

Die CIA, der US-Geheimdienst Central Intelligence Agency, soll laut der Enthüllungsplattform Wikileaks in der Lage sein, SSH-Anmeldedaten abzufragen. Laut Ende vergangener Woche veröffentlichter Dokomuente sollen die beiden Malware-Tools BothanSpy und Gyrfalcon verschiedene Funktionen liefern. BothanSpy zielt auf Windows-Plattform und Gyrfalcon richtet sich gegen mehrere Linux-Distributionen.

CIA (Grafik: CIA)

In dem zwölfseitigen Dokument, das angeblich von der CIA stammen soll und zu Letzt im November 2013 aktualisiert wurde, wird BothanSpy als Tool für den Windows-SSH-Client Xshell beschrieben. Das Spionagetool sei in der Lage, aktive SSH-Verbindungen auszulesen. Diese Informationen werden ohne einen Zwischenspeicher auf der Festplatte direkt an den Geheimdienst übermittelt. Daneben biete BothanSpy auch einen sogenannten Forget Mode. In diesem Betriebsmodus werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt.

Ausgewähltes Whitepaper

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Das Tool unterstützt die Xshell-Versionen von 3 bis 5, könne aber auch unter anderen Xshell-Versionen arbeiten. “BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell”, heißt es in dem Support-Dokument der CIA.

Gyrfalcon ist eine Bibliothek, die OpenSSH-Clients für Linux untergeschoben wird. Die Schadsoftware erkennt nicht nur Nutzernamen und Passwörter einer SSH-Verbindung, sondern kann zudem den gesamten Datenverkehr einer Sitzung aufzeichnen. Die CIA weist in dem geleakten Dokument auch darauf hin, dass der Betreiber der Malware ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen – ein Hinweis, der beim Windows-Tool BothanSpy fehlt.

Linux-Malware Gyrfalcon bleibt hinter Windows-Variante zurück

Für die Installation der Bibliothek wird zudem das von der CIA entwickelte Rootkit JQC/KitV benötigt. Mögliche Ziele sind 32-oder 64-Bit-Linux-Versionen. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob neuere Linux-Versionen anfällig sind, ist unklar.

Ausgewähltes Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Wikileaks weist zudem auf einen wichtigen Unterschied zwischen BothanSpy und Gyrfalcon hin. Während ersteres direkt mit dem Geheimdienst kommunizieren kann, erzeugt letzteres grundsätzlich nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Redaktion

Recent Posts

GEBHARDT Intralogistics setzt bei IT-Transformation auf S/4HANA

Mit SAP S/4HANA und Cloud-Technologien legt der Intralogistik-Spezialist Basis für eine zukunftsweisende IT-Architektur.

2 Tagen ago

Elisabeth-Klinik Bigge setzt für Verwaltung von iPads auf Jamf Pro und Apple Business Manager

Automatisiertes Management von iPads sorgt für reibungslosen Betrieb sowie Sicherheit und verlässlichen Datenschutz.

2 Tagen ago

Malware Ranking Februar: AsyncRAT sorgt in Deutschland für wirtschaftliche Schäden

Der aufstrebende Trojaner wird in professionellen Kampagnen eingesetzt, die Plattformen wie TryCloudflare und Dropbox zur…

2 Tagen ago

KI-Wettrennen: Deutschland muss aufholen

Investitionsbemühungen der Unternehmen werden nur erfolgreich sein, wenn sie die Datenkomplexität, -sicherheit und -nachhaltigkeit bewältigen…

3 Tagen ago

Fakten statt Fiktion: Was tun gegen KI-Halluzinationen und -Bias?

Generative KI kann falsch liegen oder vorurteilsbehaftete Ergebnisse liefern. Maßnahmen, mit denen Unternehmen das Risiko…

3 Tagen ago

Deutsche Wirtschaft räumt Versäumnisse ein

82 Prozent der Unternehmen sind der Meinung, die aktuelle Konjunkturkrise sei auch eine Krise zögerlicher…

3 Tagen ago