Wikileaks ha revelado este jueves 6 de julio una nueva herramienta que utilizaba la Agencia de Espionaje de Estados Unidos (CIA) para atacar y hackear credenciales SSH (Secure Shell) a ordenadores Windows y Linux. BothanSpy es el programa diseñado para los sistemas Windows y Gryfalcon está diseñado para operar en el aparatos Linux y tener acceso a un servidor o un sitio web.
BothanSpy, el implante que funciona como un malware y que tiene el mismo nombre que los políticos y espías de Star Wars, tiene como objetivo robar los datos de los clientes SSH Xshell de Microsoft Windows, en concreto el “nombre de usuario y contraseña en caso de sesiones SSH autenticadas por contraseña o nombre de usuario, nombre de archivo de la clave SSH privada y contraseña de clave si se utiliza la autenticación de clave pública”, informó Wikileaks en un comunicado.
Las credenciales robadas podían enviarse a un servidor controlado por la CIA o guardarse en un archivo encriptado para que se liberara posteriormente con otros métodos.
En el caso de Gryfalcon, la herramienta está dirigida para los ordenadores con un sistema operativo Linux, como CentOS, Debian, SUSE, Ubuntu o Red Hat Enterprise Linux. El modus operandi tras el hackeo de las credenciales OpenSSH es parecido al utilizado en BothanSpy aunque para ser que se pudiera configurar e instalar era necesario un kit desarrollado por la CIA, el JQC / KitV.
La nueva entrega de documentos de la CIA forman parte del proyecto Vault 7, la mayor filtración de archivos confidenciales de la Agencia de Espionaje.