Закладки, описанные в обоих проектах, предназначены для перехвата учетных данных SSH, но работают с разными операционными системами и применяют различные векторы атаки.
BothanSpy нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет воровать пользовательские данные для всех активных SSH сессий. Эти учетные записи могут являться именем пользователя и паролем в случае сеансов SSH с парольным подтверждением или названием файла закрытого SSH ключа и паролем от него в случае аутентификации по закрытому ключу. BothanSpy может отправлять украденные учетные данные на контролируемый ЦРУ сервер (в этом случае имплант никогда не использует файловую систему на целевой машине для хранения данных) или сохранять информацию в зашифрованном файле для дальнейшей отправки. BothanSpy устанавливается на целевой машине как расширение Shellterm 3.x.
Gyrfalcon представляет собой закладку для клиентов OpenSSH на платформе Linux (СentOS, Debian, Rhel, Suse, Ubuntu). Имплант может не только воровать учетные данные активных сессий, но также способен частично или полностью перехватывать трафик OpenSSH. Вся собранная информация хранится в зашифрованном файле для последующей передачи. Зловред устанавливается и настраивается на целевой машине с использованием специально разработанного ЦРУ инструментария (JQC / KitV).
Угрозы безопасности
• Уязвимости Apple «AirBorne» могут привести к удаленному взлому iPhone, iPad и Mac через AirPlay без участия пользователя
• Cloudflare отражает рекордное число DDoS-атак в 2025 году
• Уязвимость в Linux-интерфейсе io_uring позволяет скрытым руткитам обходить защиту
• Французские власти снова пытаются получить доступ к сообщениям в Telegram
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания