Закладки, описанные в обоих проектах, предназначены для перехвата учетных данных SSH, но работают с разными операционными системами и применяют различные векторы атаки.
BothanSpy нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет воровать пользовательские данные для всех активных SSH сессий. Эти учетные записи могут являться именем пользователя и паролем в случае сеансов SSH с парольным подтверждением или названием файла закрытого SSH ключа и паролем от него в случае аутентификации по закрытому ключу. BothanSpy может отправлять украденные учетные данные на контролируемый ЦРУ сервер (в этом случае имплант никогда не использует файловую систему на целевой машине для хранения данных) или сохранять информацию в зашифрованном файле для дальнейшей отправки. BothanSpy устанавливается на целевой машине как расширение Shellterm 3.x.
Gyrfalcon представляет собой закладку для клиентов OpenSSH на платформе Linux (СentOS, Debian, Rhel, Suse, Ubuntu). Имплант может не только воровать учетные данные активных сессий, но также способен частично или полностью перехватывать трафик OpenSSH. Вся собранная информация хранится в зашифрованном файле для последующей передачи. Зловред устанавливается и настраивается на целевой машине с использованием специально разработанного ЦРУ инструментария (JQC / KitV).
Угрозы безопасности
• Microsoft: Хакерская группировка Storm-0501 переключилась на вымогательские атаки в облачных средах
• ESET: Новый шифровальщик PromptLock использует ИИ для кражи и блокировки данных
• Исследователи нашли способ прятать вредоносные команды в уменьшенных изображениях для ИИ
• В Google Play удалены вредоносные Android-приложения с 19 млн загрузок
• Shamos: новый инфостилер маскируется под «исправления» для macOS
• Apple закрыла уязвимость нулевого дня, которая используется в целевых атаках на iPhone, iPad и Mac