В очередной порции документов, полученных в результате утечки данных из закрытой сети ЦРУ и размещённых на WikiLeaks, приводятся сведения о двух проектах по установке вредоносного ПО (имплантов в терминологии ЦРУ) на системы пользователей — BothanSpy и Gyrfalcon.

Оба проекта обеспечивают перехват данных аутентификации, фигурирующих при установке защищённых сеансов по протоколу SSH.

Gyrfalcon нацелен на сбор параметров аутентификации (логин/пароль, закрытые SSH-ключи и пароли к SSH-ключам) у клиентов OpenSSH, а также поддерживает режим полного или выборочного сохранения содержимого SSH-сеансов и может выполнить подстановку команд в сеансы. Вся накопленная информация шифруется и сохраняется в файл для последующей отправки на внешний сервер, подконтрольный ЦРУ.

Передача собранных данных осуществляется при помощи других средств — Gyrfalcon обеспечивает только накопление данных. Варианты Gyrfalcon подготовлены для различных дистрибутивов Linux, включая RHEL, CentOS, Debian, openSUSE и Ubuntu. Имплант устанавливается в систему после получения привилегированного доступа, например после атаки с использованием неисправленных уязвимостей или через вход под перехваченной учётной записью.

Описывается два варианта импланта:

• Gyrfalcon1 запускается в виде фонового процесса, который работает с правами root и использует ptrace для получения контроля за процессами штатного системного SSH-клиента. После активации Gyrfalcon отслеживает запуск новых процессов и в случае обнаружения SSH-клиента подключается к нему при помощи ptrace. Работа выполняется в пассивном режиме. Дополнительно поставляется Python-скрипт для настройки работы и определения правил перехвата трафика.

• Gyrfalcon2 оформлен в виде разделяемой библиотеки, которая устанавливается в систему вместо штатной библиотеки libgssapi.so или загружается через LD_PRELOAD в адресное пространство клиента OpenSSH и перехватывает некоторые обработчики. В состав также входит приложение, которое взаимодействует с библиотекой и получает от неё перехватываемые сведения. Имплант рассчитан на поставку вместе с руткитом JQC/KitV, который обеспечивает его скрытие и активацию.

Второй бэкдор BothanSpy близок по своим возможностям к Gyrfalcon, и отличается тем, что нацелен на слежку за пользователями Windows через подмену SSH-клиента Xshell. Бэкдор устанавливается в систему под видом расширения Shellterm 3.x и действует только для SSH-сеансов, осуществляемых через эмулятор терминала Xshell.