Ya ha pasado algo de tiempo desde que Wikileaks anunció #Vault7, la mayor filtración de la historia de supuestos documentos confidenciales de la CIA donde se describen todo tipo de herramientas de hacking de la agencia.
Cuatro meses después de aquella publicación inicial, Wikileaks continúa lanzando un goteo de filtraciones semana tras semana. Si en anteriores entregas nos ha mostrado el malware para hackear ordenadores Linux o equipos con distintas versiones de Windows, en esta ocasión lo que nos muestra el portal son BothanSpy y Gyrfalcon, las herramientas utilizadas por la CIA para robar contraseñas de servidores o sitios web en formato SSH.
Según explica Wikileaks en un comunicado, BothanSpy se trata de un implante que se dirige al programa cliente SSH Xshell de Windows y se instala como una extensión 3.x Shelterm en la máquina objetivo. El software malicioso tiene la capacidad de robar los credenciales de usuario de todas las sesiones activas. De acuerdo con el informe, este malware puede enviar las claves sustraídas a un servidor controlado por la Agencia Central de Inteligencia estadounidense, o bien guardarlas en un archivo encriptado para remitirlo más tarde por otros medios.
La segunda herramienta que ha sido filtrada hoy por Wikileaks es Gyrfalcon, un implante dirigido contra el cliente OpenSSH en la plataformas Linux (CentOS, Debian, RHEL, SUSE, Ubuntu)
que se instala en la máquina objetivo mediante un root kit. Tiene la
capacidad no solo de robar las credenciales de usuario de las sesiones
SSH activas, sino que también puede registrar el tráfico de sesión total
o parcial. Toda la información recogida se guarda en un archivo cifrado
para exportarlo más tarde.