Закладки, описанные в обоих проектах, предназначены для перехвата учетных данных SSH, но работают с разными операционными системами и применяют различные векторы атаки.
BothanSpy нацелен на клиентскую программу Xshell для Microsoft Windows и позволяет воровать пользовательские данные для всех активных SSH сессий. Эти учетные записи могут являться именем пользователя и паролем в случае сеансов SSH с парольным подтверждением или названием файла закрытого SSH ключа и паролем от него в случае аутентификации по закрытому ключу. BothanSpy может отправлять украденные учетные данные на контролируемый ЦРУ сервер (в этом случае имплант никогда не использует файловую систему на целевой машине для хранения данных) или сохранять информацию в зашифрованном файле для дальнейшей отправки. BothanSpy устанавливается на целевой машине как расширение Shellterm 3.x.
Gyrfalcon представляет собой закладку для клиентов OpenSSH на платформе Linux (СentOS, Debian, Rhel, Suse, Ubuntu). Имплант может не только воровать учетные данные активных сессий, но также способен частично или полностью перехватывать трафик OpenSSH. Вся собранная информация хранится в зашифрованном файле для последующей передачи. Зловред устанавливается и настраивается на целевой машине с использованием специально разработанного ЦРУ инструментария (JQC / KitV).
Угрозы безопасности
• Разработчики Notepad++ подтвердили взлом серверов обновлений
• Злоумышленники распространяли вредоносное ПО через сервер обновлений антивируса eScan
• Сбой в pCloud: пользователи видят чужие папки в своих аккаунтах
• Уязвимость обхода путей в WinRAR активно используется множеством хакеров
• Новый MaaS-сервис Stanley обещает обход модерации Chrome Web Store для фишинговых расширений
• Пользователей LastPass атакуют фишинговыми письмами под видом техподдержки