Así robaba la CIA contraseñas de servidores y webs, según Wikileaks

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone

Ya ha llovido desde que Wikileaks anunció #Vault7, la mayor filtración de la historia de supuestos documentos confidenciales de la CIA donde se describen todo tipo de herramientas de hacking de la agencia.

Cuatro meses después de aquella publicación inicial, Wikileaks continúa lanzando un goteo de filtraciones semana tras semana. Si en anteriores entregas nos ha mostrado el malware para hackear ordenadores Linux o equipos con distintas versiones de Windows, en esta ocasión lo que nos muestra el portal son BothanSpy y Gyrfalcon, las herramientas utilizadas por la CIA para robar contraseñas de servidores o sitios web en formato SSH.

SSH son las siglas de Secure SHell, que se trata de un protocolo que proporciona acceso e intercambio seguro de comandos o ficheros entre un cliente (un usuario o un equipo) y una máquina remota (un servidor).

Según explica Wikileaks en un comunicado, BothanSpy se trata de un implante que se dirige al programa cliente SSH Xshell de Windows y se instala como una extensión 3.x Shelterm en la máquina objetivo. El software malicioso tiene la capacidad de robar los credenciales de usuario de todas las sesiones activas. De acuerdo con el informe, este malware puede enviar las claves sustraídas a un servidor controlado por la Agencia Central de Inteligencia estadounidense, o bien guardarlas en  un archivo encriptado para remitirlo más tarde por otros medios.

La segunda herramienta que ha sido filtrada hoy por Wikileaks es Gyrfalcon, un implante dirigido contra el cliente OpenSSH en la plataformas Linux (CentOS, Debian, RHEL, SUSE, Ubuntu) que se instala en la máquina objetivo mediante un root kit. Tiene la capacidad no solo de robar las credenciales de usuario de las sesiones SSH activas, sino que también puede registrar el tráfico de sesión total o parcial. Toda la información recogida se guarda en un archivo cifrado para exportarlo más tarde.

Fuente:http://computerhoy.com/noticias/internet/asi-robaba-cia-contrasenas-servidores-webs-segun-wikileaks-64707

Conocimiento pertenece al mundo
Tweet about this on TwitterShare on FacebookShare on LinkedInShare on Google+Share on StumbleUponShare on TumblrShare on RedditPin on PinterestEmail this to someone