Software::Security
CIA-Programme zum Stehlen von Anmeldedaten auch für Linux
WikiLeaks hat zwei Werkzeuge dokumentiert, mit denen die CIA Anmeldedaten von OpenSSH-Benutzern stiehlt, eines für MS-Windows, eines für Linux.
CIA
Offenbar benutzt der US-amerikanische Geheimdienst CIA routinemäßig zwei Werkzeuge, um Anmeldedaten von OpenSSH-Benutzern zu stehlen. Dies hat WikiLeaks
jetzt aufgedeckt. Ein Skript namens BothanSpy wird unter MS Windows eingesetzt. Für Linux hat die Organisation ein Programm namens Gyrfalcon. Auch wenn die
Dokumentation zu diesem Programm (PDF) schon von 2013 ist, ist zu vermuten, dass die CIA es weiter einsetzt und wahrscheinlich auch aktualisiert hat.
Bei den Werkzeugen handelt es sich aber nicht um Angriffe, die Sicherheitslücken in OpenSSH oder anderen Komponenten nutzen. Vielmehr müssen diese Programme manuell installiert werden. Das kann auf unterschiedlichen Wegen geschehen, unter anderem durch das Ausnutzen von anderen Sicherheitslücken, den heimlichen physischen Zugang zum System, Grenzkontrollen oder gar Beschlagnahmungen.
Die dokumentierte Vorgehensweise der CIA beginnt mit Maßnahmen, die darauf abzielen, keine Spuren zu hinterlassen. Das Spionagepaket selbst, das aus einem Programm und Bibliotheken besteht, wird in spezifischen Versionen für Red Hat Enterprise Linux, CentOS, Debian, Ubuntu und SUSE Linux Enterprise eingesetzt. Bei der Installation wird auch das Rootkit JQC/KitV installiert, das ebenfalls von der CIA entwickelt wurde. Auch über das Rootkit sind Informationen durchgesickert.
In der Konsequenz sollte jeder Nutzer darauf achten, dass sein System aktuell und sicher ist. Eine Erkennung einer Infektion ist laut einem Artikel auf linux.org schwierig. Denn die Skripte und Programme, die die CIA nutzt, seien bisher noch nicht gefunden worden, so dass keine Analyse möglich war. Es ist auch nicht bekannt, unter welchem Namen sie gespeichert werden, es scheint aber, als würde der Name bei jeder Installation geändert. Was bekannt ist, ist wenig. Die Software läuft im Hintergrund und sollte sich mit ps finden lassen. Ein verdächtiger Prozess kann mit kill beendet werden. Eine fehlende History-Datei der Shell kann ein Indiz sein. Das Rootkit zu entdecken könnte noch schwieriger sein, da solche Schadsoftware meist auch das Ergebnis von Systemaufrufen manipuliert, um einer Entdeckung zu entgehen.
){kind=logo}
