Wikileaks’in CIA’in çok gizli siber bilgilerini yayınladığı Vault 7 belgelerinin, 7 Temmuz tarihli olanı, CIA’in zararlı yazılımlarla Linux ve Windows işletim sistemli cihazlardan SSH kimlik bilgilerini nasıl çaldığını ortaya koyuyor.
SSH bir ağ üzerinden baska bilgisayarlara erişim sağlamak, uzak bir bilgisayarda komutlar çalıştırmak ve bir bilgisayardan diğerine dosya transfer etmek için geliştirilmiş bir protokol.
Bu SSH bilgilerinin çalınması için kullanılan zararlı yazılımlar ise BothanSpy ve Gyrfalcon olarak adlandırılmış.
BothanSpy, Windows kullanan cihazları hedef alıyor. BothanSpy sayesinde kullanıcının sistemine ait SSH kimlik bilgilerinin çalınması mümkün oluyor. SSH kimlik bilgileri bir başka deyişle Secure Shell, bir sisteme uzaktan giriş yapma hakkı sağlayan bilgilerdir. Bunun çalınması demek, CIA ajanının bu bilgileri eline geçirip istediği bir sistemi gasp etmesi anlamına geliyor. Bu bilgiler ayrıca bir kişinin kullanıcı adı ve şifresini de kapsıyor.
Zararlı yazılım bir kez aktive edildi mi, söz konusu bilgisayardan çalınan ilgili datalar doğrudan CIA’in sunucularından birine kaçırılmış oluyor. Böylece kurbanın bilgisayarındaki hiçbir dahili donanım zarar görmemiş oluyor ve veri de daha sonra kullanmak üzere şifreli bir dosyada saklanabiliyor.
Gyrfalcon ise Centos, Rhel, Debian, SuSE ve Ubuntu’yu içeren bütün Linux platformları için kullanılan bir zararlı yazılım. CIA tarafından geliştirilen bu özel yazılımın kurbanın bilgisayarına yüklenmesi gerekiyor. BothanSpy gibi Gyrfalcon da bilgisayarda SSH bilgilerini dolayısıyla sisteme uzaktan girişi mümkün kılacak bilgileri arıyor.
Ancak buna ek olarak OpenSSH aracılığıyla oluşturulan oturum trafiğini kısmen ya da tamamen ele geçirilmesini de sağlıyor. Zira Linux üzerinde SSH bağlantısı OpenSSH uygulaması ile sağlanmakta. Toplanan bilgiler yine şifreli bir dosyada depolanıyor. Daha sonra CIA’in sunucularına kaçırılıyor.
Siber Bülten abone listesine kaydolmak için doldurunuz!
