WikiLeaks telah menerbitkan batch ke-15 dari seri kebocoran Vault 7 yang sedang berjalan, kali ini merinci dua implan CIA yang memungkinkan agen tersebut mencegat dan mengeksekolasi kredensial SSH (Secure Shell) dari sistem operasi Windows dan Linux yang ditargetkan dengan menggunakan vektor serangan yang berbeda.

Secure Shell atau SSH adalah protokol jaringan kriptografi yang digunakan untuk remote login ke mesin dan server dengan aman melalui jaringan tanpa jaminan.

Dijuluki BothanSpy, implan untuk klien Microsoft Windows Xshell, dan Gyrfalcon yang menargetkan klien OpenSSH pada berbagai distribusi OS Linux, termasuk CentOS, Debian, RHEL (Red Hat), openSUSE dan Ubuntu.

Kedua implan ini dapat mencuri kredensial pengguna untuk semua sesi SSH aktif dan kemudian mengirimkannya ke server yang dikontrol CIA.

BothanSpy – Implan untuk OS Windows

Botha Spy dipasang sebagai ekstensi Shellterm 3.x pada mesin target dan hanya bekerja jika Xshell berjalan di atasnya dengan sesi aktif.

Untuk menggunakan BothanSpy terhadap target yang menjalankan versi x64 Windows, loader yang digunakan harus mendukung injeksi Wow64,” menurut panduan pengguna CIA yang bocor tersebut.

Xshell hanya hadir sebagai biner x86, dan dengan demikian BothanSpy hanya dikompilasi sebagai x86. Shellterm 3.0+ mendukung injeksi Wow64, dan Shellterm sangat dianjurkan.

Gyrfalcon – Implan untuk OS Linux

Gyrfalcon menargetkan sistem Linux (kernel 32 atau 64-bit) menggunakan rootkit JQC/KitV yang dikembangkan CIA untuk akses terus-menerus.

Gyrfalcon juga mampu mengumpulkan lalu lintas sesi OpenSSH penuh atau sebagian, dan menyimpan informasi yang dicuri dalam file terenkripsi untuk exfiltrasi nanti.

Alat ini akan berjalan secara otomatis, dikonfigurasi terlebih dahulu, dijalankan pada remote host dan dibiarkan saja berjalan,” menurut panduan pengguna Gyrfalcon v1.0.

Beberapa saat kemudian, operator kembali dan memerintahkan gyrfalcon untuk mengumpulkan semua koleksi ke disk. Operator mengambil file koleksi, mendekripsikannya, dan menganalisis data yang dikumpulkan.

Panduan pengguna untuk Gyrfalcon v2.0 mengatakan bahwa implan terdiri dari “dua binari terkompilasi yang harus diunggah ke platform target beserta file konfigurasi terenkripsi.”

Gyrfalcon tidak menyediakan layanan komunikasi antara komputer operator lokal dan platform target. Operator harus menggunakan aplikasi pihak ketiga untuk mengupload ke platform target.

Pekan lalu, WikiLeaks membeberkan sebuah proyek rahasia CIA yang memungkinkan badan mata-mata tersebut untuk meretas dan memata-matai komputer yang menjalankan sistem operasi Linux.

Dijuluki OutlawCountry, proyek ini memungkinkan hacker CIA mengalihkan semua lalu lintas jaringan outbound ke sistem komputer yang dikontrol CIA untuk mendapatkan data exfiltrate dan infiltrate.

Sejak bulan Maret, WikiLeaks telah menerbitkan 15 batch seri “Vault 7“, yang mencakup kebocoran terbaru dan terakhir minggu ini.


Like it? Share with your friends!

Muhammad Zaky Zulfiqor

I just simple person who like photography, videography, code, and cyber security enthusiast.

Comments

error: Content is protected !!