CIA, Central Intelligence Agency
WikiLeaks vient de dévoiler de nouveaux outils de la CIA, BothanSpy et Gyrfalcon. Ils permettent de compromettre une communication sécurisée SSH sous Windows ou Linux. En clair, leur fonction est de voler les identifiants de session SSH sur une machine.
Dans le cadre de sa mission de dévoiler les outils, les techniques et les procédés de la CIA pour espionner la planète, WikiLeaks publie de nouveaux documents. Ils révèlent des outils de piratage de la CIA. Ils visent les clients SSH Windows et Linux.
BothanSpy et Gyrfalcon ont été conçus pour dérober les informations d’identification des utilisateurs durant des sessions SSH actives sous Windows et Linux.
BothanSpy s’attaque à Xshell, un client SSH populaire sous Windows. L’outil permet à la CIA de voler un tas d’informations très confidentielles comme le nom d’utilisateur et le mot de passe d’une session SSH authentifiée par mot de passe, le nom du fichier de la clé privée SSH et la clé dans le cas d’une authentification par clé publique. Il est expliqué
« BothanSpy peut exfiltrer les informations d’identification volées à un serveur contrôlé par la CIA (de sorte que l’implant ne touche jamais l’unité de stockage sur le système cible) ou enregistrez les données dans un fichier chiffré pour une exfiltration ultérieure par d’autres moyens. BothanSpy est installé sous la forme d’une extension Shellterm 3.x sur la machine cible »
SSH
Le SSH est l’abréviation de Secure Shell. Il s’agit d’un protocole de communication sécurisé. La communication est assurée par un échange de clés de chiffrement en début de connexion. Ainsi les données transmises par TCP sont authentifiées et chiffrées. Le TCP alias le Transmission Control Protocol a pour objectif de découper le flux d’octets en segments dont la taille varie en fonction de la taille maximale d’un paquet pouvant être transmis en une opération. Nous parlons ici de MTU, Maximum Transmission Unit
De son côté Gyrfalcon est un outil de piratage destiné au client OpenSSH pour Linux. Ceci concerne donc toutes les distributions populaires comme SUSE ou Ubuntu. Des informations d’identification de l’utilisateur peuvent être volées. WikiLeaks souligne cependant que le dispositif peut usurper d’autres données avant que l’ensemble soit compilé dans un fichier chiffré. Il est ensuite rapatrié par la CIA.
«L’implant ne vole pas seulement des informations d’identification de l’utilisateur d’une session SSH actives, il collecte aussi trafic total ou partiel d’une session OpenSSH. Toutes les informations collectées sont stockées dans un fichier chiffré pour une exfiltration ultérieure. Il est installé et configuré en utilisant un kit racine développé par la CIA (JQC / KitV) sur la machine cible »
Cette dernière information est intéressante car la CIA ne peut utiliser Gyrfalcon qu’après avoir compromis le système Linux avec un rootkit. L’agence dispose bien évidemment du nécessaire mais cela complique l’affaire.
Nvidia propose un focus sur sa GeForce RTX 4060 (Ti). La belle est affichée à… Lire d'avantage
La technologie DLSS 3.0 débarque dans deux nouveaux jeux vidéo, EVERSPACE 2 et Gray Zone… Lire d'avantage
Si vous êtes victime d’une erreur 0x80070643 lors de l’installation de KB5034441 pour Windows 10,… Lire d'avantage
Faut-il se préparer à une hausse importante du prix de la GeForce RTX 4060 Ti ?… Lire d'avantage
Il y a tout juste un an, Microsoft annonçait l'arrivée pour 2024 de Windows 11… Lire d'avantage
Un souci de détection de GPU-Z dévoile que certaines GeForce RTX 4070 sont construites autour… Lire d'avantage