Закладки, описанные в обоих проектах, предназначены для перехвата учетных данных SSH, но работают с разными операционными системами и применяют различные векторы атаки.
BothanSpy нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет воровать пользовательские данные для всех активных SSH сессий. Эти учетные записи могут являться именем пользователя и паролем в случае сеансов SSH с парольным подтверждением или названием файла закрытого SSH ключа и паролем от него в случае аутентификации по закрытому ключу. BothanSpy может отправлять украденные учетные данные на контролируемый ЦРУ сервер (в этом случае имплант никогда не использует файловую систему на целевой машине для хранения данных) или сохранять информацию в зашифрованном файле для дальнейшей отправки. BothanSpy устанавливается на целевой машине как расширение Shellterm 3.x.
Gyrfalcon представляет собой закладку для клиентов OpenSSH на платформе Linux (СentOS, Debian, Rhel, Suse, Ubuntu). Имплант может не только воровать учетные данные активных сессий, но также способен частично или полностью перехватывать трафик OpenSSH. Вся собранная информация хранится в зашифрованном файле для последующей передачи. Зловред устанавливается и настраивается на целевой машине с использованием специально разработанного ЦРУ инструментария (JQC / KitV).
Угрозы безопасности
• Расширение VK Styles для Chrome перехватывало управление профилями в соцсети VK
• Google: хакеры используют Gemini AI на всех этапах кибератак
• Фальшивый сайт 7-Zip распространяет ПО для скрытого создания прокси-сетей
• Атаки ShadyPanda и GhostPoster: как миллионы пользователей пострадали от обновлений легитимных расширений
• «Доктор Веб» рассказал, как противостоять мошенническим звонкам
• В игре People Playground через Steam Workshop распространялся вредоносный мод