维基解密最新曝光：CIA 曾植入多款恶意工具窃取 Windows 与 Linux 操作系统 SSH 凭证

据外媒 7 月 6 日报道，维基解密（ Wikileaks ）最新曝光一批 Vault7 文档，揭露了美国中央情报局（ CIA ）恶意植入工具 BothanSpy 与 Gyrfalcon 如何通过多种攻击向量窃取 Windows 和 Linux 操作系统 SSH 凭据。

两款恶意植入均可窃取所有活跃 SSH 会话登录凭据并发送回 CIA 网络间谍系统，但区别在于：

第一款恶意植入工具 BothanSpy 主要针对 Microsoft Windows Xshell 客户端。而作为目标机器上的 Shellterm 3.x 扩展安装，只有当 Xshell 以有效活跃会话运行在目标机器的情况下才会起到作用。此外，为了将 BothanSpy 用于运行 x64 版本的 Windows 目标系统，加载程序必须支持 Wow64 注入。与此同时，Xshell 只能作为 x86 二进制文件，因此 BothanSpy 仅被编译为 x86 版本。

Xshell 是支持 SSH、SFTP、TELNET、RLOGIN 与 SERIAL 的终端仿真器，用于提供业界领先功能，包括标签环境、动态端口转发、自定义键映射、用户定义按钮、VB 脚本以及用于显示 2 个字符与国际语言支持的 UNICODE 终端。

第二款恶意植入工具 Gyrfalcon 针对包括 CentOS、Debian、RHEL（Red Hat）、openSUSE 与 Ubuntu 在内各种 Linux 版本的 OpenSSH 客户端。一旦成功植入 Linux 系统（ 32 或 64 位内核 ），CIA 黑客即可使用自定义恶意软件 JQC / KitV rootkit 进行持久访问。Gyrfalcon 收集完整或部分 OpenSSH 会话流量，并将被盗信息存储至本地加密文件用于后续渗透。

Gyrfalcon 还是一款 SSH 会话 “共享” 工具，可在运行目标主机的出站 OpenSSH 会话中进行操控，以记录 SSH 会话（包括登录凭据）并代表远程主机合法用户执行命令。获悉，该工具以自动化方式运行，需提前配置。一段时间后，黑客会返回并要求 Gyrfalcon 将所收集的全部信息复制到磁盘中，以便日后对数据进行检索、解密与分析。

原作者：Pierluigi Paganini，译者：青楚，译审：游弋from hackernews.cc.thanks for it.