维基解密揭秘CIA植入物，从Windows和Linux PC窃取SSH凭据

Secure Shell或SSH是一种加密网络协议，用于通过不安全的网络安全地远程登录到机器和服务器。

配音波坦西— 针对Microsoft Windows Xshell客户端的植入，以及格尔法尔康— 针对各种Linux操作系统发行版上的OpenSSH客户端，包括CentOS、Debian、RHEL（Red Hat）、openSUSE和Ubuntu。

这两种方法都会窃取所有活动SSH会话的用户凭据，然后将其发送到CIA控制的服务器。

BothanSpy—；Windows操作系统的植入

BothanSpy作为Shellterm 3安装。x扩展在目标机器上运行，并且仅当Xshell在目标机器上运行且具有活动会话时才起作用。

Xshell是一款功能强大的终端仿真器，支持SSH、SFTP、TELNET、RLOGIN和SERIAL，提供业界领先的功能，包括动态端口转发、自定义密钥映射、用户定义按钮和VB脚本。

泄露的CIA用户手册写道：“为了对运行x64版本Windows的目标使用BothanSpy，所使用的加载程序必须支持Wow64注入。”

“Xshell仅作为x86二进制文件提供，因此BothanSpy仅编译为x86。Shellterm 3.0+支持Wow64注入，强烈建议使用Shellterm。”

Gyrfalcon—；Linux操作系统的移植

Gyrfalcon针对Linux系统（32或64位内核），使用CIA开发的JQC/KitV rootkit进行持久访问。

Gyrfalcon还能够收集全部或部分OpenSSH会话流量，并将被盗信息存储在加密文件中，以备日后过滤。

Gyrfalcon v1的用户手册中写道：“该工具以自动方式运行。它是预先配置的，在远程主机上执行，然后继续运行。”。0读。

“稍后，操作员返回并命令gyrfalcon将其所有收集刷新到磁盘。操作员检索收集文件，解密并分析收集的数据。”

Gyrfalcon v2的用户手册。0表示，植入物由“两个编译过的二进制文件组成，应该与加密的配置文件一起上传到目标平台。”

“Gyrfalcon不提供本地运营商计算机和目标平台之间的任何通信服务。网络安全运营商必须使用第三方应用程序将这三个文件上传到目标平台。”

前7号地下室中情局泄密

上周，维基解密推翻了中央情报局的一个机密项目，该项目允许间谍机构对运行Linux操作系统的电脑进行黑客攻击和远程间谍。

配音非法国家，该项目允许CIA黑客将目标机器上的所有出站网络流量重定向到CIA控制的计算机系统，以过滤和渗透数据。

自3月以来，泄密组织已发布了15批“Vault 7”系列，其中包括最近和上周的泄密，以及以下批次：

• 埃尔莎– 被指控的CIA恶意软件跟踪运行微软Windows操作系统的目标PC和笔记本电脑的地理位置。
• 残忍的袋鼠– 该机构使用的Microsoft Windows工具套件，以组织或企业内的封闭网络或气隙计算机系统为目标，无需任何直接访问。
• 樱花– 一个机构的框架，基本上是一个基于固件的远程控制植入物，用于通过利用WiFi设备中的缺陷监视目标系统的互联网活动。
• 流行病– 该机构的项目是将Windows文件服务器转变为秘密攻击机器，可以悄悄地感染目标网络中其他感兴趣的计算机。
• 雅典娜– 一个间谍软件框架，由CIA设计，用于远程完全控制受感染的Windows机器，可针对从Windows XP到Windows 10的所有Windows操作系统版本。
• 午夜后刺客– 两个据称是针对微软Windows平台的CIA恶意软件框架，旨在监控受感染远程主机上的操作并执行恶意操作。
• 阿基米德– 中间人（MitM）攻击工具，据称由中央情报局（CIA）创建，用于攻击局域网（LAN）内的计算机。
• 涂鸦– 据称，该软件旨在将“网络信标”嵌入机密文件，使间谍机构能够追踪内幕人士和告密者。
• 蝗虫– 该框架允许该机构轻松创建自定义恶意软件，以侵入微软的Windows并绕过防病毒保护。
• 大理石– 该机构用来隐藏其恶意软件实际来源的秘密反取证框架的源代码。
• 暗物质– 黑客攻击利用了该机构专门针对iPhone和Mac的漏洞。
• 哭泣天使– 该机构用来渗透智能电视的间谍工具，将其转化为隐蔽的麦克风。
• 零年– 据称中情局对流行硬件和软件进行黑客攻击。