ویکی‌لیکس ابزارهای سازمان سیا برای سرقت گواهی‌نامه‌های SSH را منتشر کرد

ویکی‌لیکس اسنادی را منتشر کرده است که بر اساس آن سازمان سیا با ابزارهای BothanSpy و Gyrfalcon اقدام به سرقت گواهی‌های SSH از سامانه‌های ویندوز و لینوکس کرده است. یکی از این اسناد مربوط به ماه می در سال ۲۰۱۵ میلادی است که ابزار BothanSpy را توضیح داده است. این ابزار برای سرقت گواهی‌نامه‌ها از نشست‌های فعال SSH از Xshell، SSH، تل‌نت و شبیه‌ساز ترمینال rlogin در ویندوز مورد استفاده قرار می‌گیرد.

در این ابزار حالتی به نام «آتش و جمع‌آوری» وجود دارد که گواهی‌نامه‌های SSH را در سامانه‌های آلوده جمع‌آوری کرده و بدون اینکه آن‌ها را در ماشین آلوده بر روی دیسک بنویسد، آن‌ها را به سمت کارگزار مهاجمان ارسال می‌کند. اگر در این ابزار حالت «آتش و فراموشی» فعال شده باشد، گواهی‌نامه‌ها را جمع‌آوری کرده و بر روی دیسک ماشین آلوده در پرونده‌ای ذخیره می‌کند.

اقدام گسترده سازمان سیا برای سرقت گواهی‌های SSH

یکی دیگر از ابزارها Gyrfalcon ۲.۰ نام دارد که در سندی مربوط به سال ۲۰۱۳ میلادی توضیح داده شده است. این ابزار برای سرقت گواهی‌نامه‌های SSH از کارخواه OpenSSH در سامانه‌های لینوکس طراحی شده است. این ابزار یک کتابخانه است که در فضای آدرس پردازه‌های کارخواه OpenSSH بارگذاری شده است. این ابزار ترافیک نشست‌های OpenSSH، از جمله نام کاربری و گذرواژه‌ها را جمع‌آوری کرده و به حالت فشرده در آورده و رمزنگاری می‌کند. در ادامه نیز داده‌ها را در یک پرونده ذخیره می‌کند. برای خارج کردن داده‌ها از دستگاه آلوده به یک برنامه‌ی ثالث نیاز است.

در طول چند ماهه گذشته ویکی‌لیکس ابزارهای نفوذ مختلفی را تشریح کرده که توسط سازمان سیا مورد استفاده قرار گرفته است. از جمله‌ی این ابزارها می‌توان ابزارهایی برای نفوذ به تلویزیون‌های هوشمند سامسونگ، توسعه‌ی بدافزارهای ویژه و ابزاری برای سخت کردن فرآیند انتساب بدافزارها را نام برد.هفته‌ی قبل نیز بدافزاری با نام السا را توضیح دادند که برای مکان‌یابی دستگاه‌ها از طریق وای‌فای آن‌ها مورد استفاده قرار گرفته بود.