Gyrfalcon 2.0: Malware en Python de la CIA para romper el SSH en linux

[h]Gryaflcon: un malware diseñado por la CIA en python para recuperar las llaves SSH en distribuciones GNU-Linux[/h]

La operación Vault7 de Wikileaks sigue su curso.
El 6 de julio pasado Wikileaks publicó BothanSpy
Bothanspy es el malware para Windows que se encarga de “romper el SSH” del sistema infectado
Gryfalcon es la versión para LInux.
No tenemos a todo el código empelado pero el manual de la CIA da todas las pistas para entender lo que ocurre.
Aquí tenéis a la guía (muy completa): Gyrfalcon 2.0: User Guide
La guía es para gente “con conocimientos en linux” (tampoco hace falta ser un maestro) y se entiende rápido que gryfalcon es un exploit bastante en “bruto”.
Poco sofisticado y bastante desatendido. Muy parecidos a los que empleamos… :smiley:
Requiere una consola remota activa con derechos de administrador para su instalación.
Algo casi imposible lograr en un sistema bien configurado, empleado con cabeza (sin “rootear”) y correctamente mantenido.
Vemos en el manual que hacen referencia varias veces veces a un roo tkit llamado JQC/KitV.
A un momento explican claramente que Gryfalcon está diseñado para aquellos dispositivos que han sido infectados con este **root kit **

[h]Ofuscación[/h]
Se hace a manopla… linux será siempre linux incluso si eres agente de la CIA… RTFM! :lol:

Se trata de mandar el proceso en background,
Significa que el proceso será visible haciendo un listado de los procesos con ps
Es una forma primitiva de esconder la actividad del virus.

Más adelante hablan de des-instalar el malware
Es también un método limitado para “no dejar huellas”, haría falta editar sutilmente todos los registros y historiales y mucho mucho más.
Esta parte es muy instructiva: Vemos los directorios de trabajo escondidos y se confirma que la CIA instala su malware “gracias” a su root kit.:

Notad que la CIA usa el directorio /lib64/ (no escondido) para instalar dos objetos compartidos.
Un directorio muy poco empleando (tengo un solo elemento ahí)

No tenemos el código así que no sabemos exactamente cómo hacen en detalles para pillar las llaves.
Lo que está claro es que con un **root kit **instalado y una sesión root activa… es más fácil :stuck_out_tongue:
Gyrfalcon 2.0 no es en si el problema, lo que realmente intriga y alarma es el root kit
Notad que el manual es del 2013 y no hay dudas sobre le hecho de que la CIA emplea otras cosas hoy en día.