BothanSpy – der SSH-sniffer der CIA

Vor einigen Tagen hat WikiLeaks im Rahmen der Vault7-Serie das nächste CIA-Dokument veröffentlicht. Dieses mal geht es um BothanSpy – einen Keylogger und paket-sniffer für SSH clients auf Windows und Linux-Systemen (RHEL, CentOS, Debian, Ubuntu, etc).

Neuer client + library

Das Paket besteht aus einem modifiziertem SSH-Client mit dazugehöriger Bibliothen, sowie zwei Python-Scripten. Damit benötigt der Angreifer direkten Zugriff auf das zu infizierende System – oder er muss den Admin dazu bringen ein Root-Kit zu installieren, welches dann die Installation vornimmt. Nach der Installation ersetllt BothanSpy eine verschüsselte Datei, die alle eingegebenen Nutzernamen und Kennwörter die bei SSH-Verbindungen verwenden wurden, enthält. Bei bestimmten SSH-Versionen kann zudem der gesamte SSH-Traffic abgefangen und protokolliert werden. Das verschlüsselte Archiv muss anschließend heruntergeladen und entschlüsselt bzw analysiert werden.

Windows mehr betroffen ?

Vermutlich trifft diese Software mehr Windows- als Linux-Systeme. Moderne Distributionen enthalten eigene Sicherheitsprogramme wie zB SELinux. Dies verhindert unberechtigte Programmänderungen und erstellt auch bei einem Versuch unmittelbare Warnungen. Abgesehen davon würde ein reguläres Update des SSH-Clients die veränderte Datei mit der originalen überschreiben. Da die Software auf Windows-Systemen das externe Programm Xshell ersetzt, ist ein entsprechender Angriff dort erfolgversprechender. Immerhin würde das reguläre Windows-Update dieses externe Programm nicht aktualisieren, auch wenn eine neuere Version verfügbar wäre.

Zudem nutzen viele Admins ein Schlüssel-basiertes Login (key-based login) anstelle von Nutzernamen und Kennwort. Und dabei wäre ein derartiger Angriff absolut nutzlos.

Leave a Reply

Your email address will not be published. Required fields are marked *