Die CIA, der US-Geheimdienst Central Intelligence Agency, soll laut der Enthüllungsplattform Wikileaks in der Lage sein, SSH-Anmeldedaten abzufragen. Laut Ende vergangener Woche veröffentlichter Dokomuente sollen die beiden Malware-Tools BothanSpy und Gyrfalcon verschiedene Funktionen liefern. BothanSpy zielt auf Windows-Plattform und Gyrfalcon richtet sich gegen mehrere Linux-Distributionen.
In dem zwölfseitigen Dokument, das angeblich von der CIA stammen soll und zu Letzt im November 2013 aktualisiert wurde, wird BothanSpy als Tool für den Windows-SSH-Client Xshell beschrieben. Das Spionagetool sei in der Lage, aktive SSH-Verbindungen auszulesen. Diese Informationen werden ohne einen Zwischenspeicher auf der Festplatte direkt an den Geheimdienst übermittelt. Daneben biete BothanSpy auch einen sogenannten Forget Mode. In diesem Betriebsmodus werden die gestohlenen Anmeldedaten per AES verschlüsselt und auf der lokalen Festplatte abgelegt.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Das Tool unterstützt die Xshell-Versionen von 3 bis 5, könne aber auch unter anderen Xshell-Versionen arbeiten. “BothanSpy nutzt bei der Sammlung von Anmeldedaten einen sehr paranoiden Ansatz. Allerdings verbleibt ein Restrisiko (egal wie klein es sein sollte) bei der Nutzung von BothanSpy mit nicht getesteten/inoffiziellen Versionen von Xshell”, heißt es in dem Support-Dokument der CIA.
Gyrfalcon ist eine Bibliothek, die OpenSSH-Clients für Linux untergeschoben wird. Die Schadsoftware erkennt nicht nur Nutzernamen und Passwörter einer SSH-Verbindung, sondern kann zudem den gesamten Datenverkehr einer Sitzung aufzeichnen. Die CIA weist in dem geleakten Dokument auch darauf hin, dass der Betreiber der Malware ohne Wissen über das Linux-Betriebssystem nicht in der Lage sein wird, Gyrfalcon sicher auszuführen – ein Hinweis, der beim Windows-Tool BothanSpy fehlt.
Für die Installation der Bibliothek wird zudem das von der CIA entwickelte Rootkit JQC/KitV benötigt. Mögliche Ziele sind 32-oder 64-Bit-Linux-Versionen. Laut CIA ist ein Einsatz unter CentOS 5.6 bis 6.4, Debian 6.0.8, Red Hat Enterprise Linux 4 bis 6.4, Suse 10.1 und Ubuntu 11.10 möglich. Ob neuere Linux-Versionen anfällig sind, ist unklar.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Wikileaks weist zudem auf einen wichtigen Unterschied zwischen BothanSpy und Gyrfalcon hin. Während ersteres direkt mit dem Geheimdienst kommunizieren kann, erzeugt letzteres grundsätzlich nur verschlüsselte Dateien mit den ausgespähten Informationen, die zu einem späteren Zeitpunkt ausgelesen werden müssen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der aktuelle Threat Labs Report von Netskope zeigt die Hauptrisiken und enthüllt die wichtigsten Angreifergruppen.
Unternehmen sind branchenübergreifend auf biometrische Identifizierungssysteme angewiesen, um Zugänge möglichst sicher und komfortabel zu gestalten.
Bei der Qualitätssicherung generativer KI reichen herkömmliche Methoden nicht mehr aus. Da hilft nur eine…
Analyse von Webhosting-Dienstleister Hostinger: Microsoft, Meta und OpenAI verzeichnen die meisten gemeldeten Cyberattacken.
Mit SAP S/4HANA und Cloud-Technologien legt der Intralogistik-Spezialist Basis für eine zukunftsweisende IT-Architektur.
Automatisiertes Management von iPads sorgt für reibungslosen Betrieb sowie Sicherheit und verlässlichen Datenschutz.
