Web Analytics
Conecta con nosotros

Noticias

Wikileaks: CIA robó credenciales SSH en PCs Windows y Linux

Publicado el
credenciales SSH

Wikileaks ha publicado nueva información de la serie de documentos filtrados bajo la serie Vault 7, obtenida desde la red de alta seguridad situada en el Centro de Inteligencia Cibernética de la CIA en Langley, Virginia.

Esta vez, la información trata de los presuntos implantes de la CIA que permitieron a la agencia de inteligencia interceptar credenciales SSH en sistemas operativos Windows y Linux y con ello, acceder a los equipos.

SSH (Secure Shell) es un protocolo de red cifrado utilizado para el acceso remoto a PCs y servidores privados. Parecido en funcionamiento al telnet (con la diferencia del cifrado), una vez autenticado permite manejar por completo el servidor mediante un intérprete de comandos, ejecutar programas gráficos si está instalado un Servidor X, copiar archivos mediante FTP o gestionar claves RSA.

Wikileaks asegura que la CIA implantó programas para piratear este protocolo y acceder a las máquinas de forma remota utilizando diversos vectores de ataque. Las herramientas utilizadas llevan por nombre BothanSpy para Windows (se instala como extensión de Shellterm 3.x sobre máquinas que ejecuten Xshell) y Gyrfalcon para Linux (en kernels Linux de 32 o 64 bits utilizando el rootkit JQC/KitV desarrollado por la CIA para acceso persistente.

Ambos tienen el mismo objetivo: robar credenciales de las sesiones SSH activas para controlar los equipos. El mayor problema, además del espionaje ilegal masivo y sin control judicial, es que este tipo de herramientas de ataque informático, la mayoría de nueva creación como hemos visto en otros documentos Vault 7, ha terminado llegando a los ciberdelincuentes que se pretende «en teoría» combatir.

Un ciberejército de hackers (más de 5.000, según Wikileaks), bajo el paraguas legal del grupo especializado EDG (Engineering Development Group), estarían dedicados a insertar malware y preparar exploits para espiar y en algunos casos controlar totalmente los dispositivos electrónicos más populares del mercado.

Desde smartphones con Android, productos de redes como routers, medios de almacenamiento como discos duros o televisores inteligentes, iPhone y Mac con hackeo incluido en el firmware, y cómo no, ordenadores personales y servidores Windows o Linux como en este caso de robó de credenciales SSH.

Coordino el contenido editorial de MC. Colaboro en medios profesionales de TPNET: MCPRO, MuySeguridad, MuyCanal y Movilidad Profesional.

18 comentarios
  • Leonmafioso

    Definitivamente… Si queremos ir lejos del espionaje nada de internet, nada de tener cuenta bancaria, volver a la epoca de las cavernas.

  • Gregorio Ros

    ¡Con una buena moza yo me apuntaría ya!.

  • Puchalawea

    Seguro solo afectó a Windows porque Linux es impenetrable.

  • metalking

    si eso solo vos te lo crees tio joder ajjajajajajaj

  • metalking

    y asi es como nos damos cuenta que ya no ahi seguridad en ningun lado joder tios y tias

  • kerveros

    es extraño entrar y ver pocos comentarios, pero si el titulo solo fuera de Windows, mas de 100 comentarios de pinguinos hablando de que Linux es mejor y mas seguro, pero bueno…

  • Carl Johnson

    Y si fuera lo contrario seria la misma porqueria, fanboys donde quiera hay llamese android ios windows o linux

  • LMB

    XD no veo donde mencionan la falla en el kernel, hablamos de SSH, linux al fin y al cabo es un kernel, no es una entidad todo poder. No se puede decir que es una falla que en windows o en linux SSH funcione para lo que fue hecho, controlar un sistema. Puede ser el mejor sitema operativo del mundo, pero … Recuerda solo lo es , si esta bien configurado y sabes lo que instalas.

  • Amir Torrez

    Creo era sarcasmo.

  • Puchalawea

    No se da cuenta que la moda del «(?)» ya pasó.

  • Quemasda

    Leyendo los manuales de uso de Gyrfalcon-1 y Gyrfalcon-2 para Linux, se indica que la «herramienta» espía debe instalarse y/o ejecutarse en el equipo víctima con Linux

    CON CONTRASEÑA DE ADMINISTRADOR (ROOT). O sea que el atacante necesita conocer la clave de root del otro equipo o no se come un rosco.

    https://wikileaks.org/vault7/document/Gyrfalcon-1_0-User_Manual/page-11/#pagination

    https://wikileaks.org/vault7/document/Gyrfalcon-2_0-User_Guide/page-6/#pagination

    En ambos manuales se indica que el programa SELinux activado complica bastante el funcionamiento de la «herramienta» espía. Habrá que ir tomando nota.

    En cambio, en el manual del equivalente para windows (llamado BothanSpy), no he podido encontrar referencia alguna de que se necesite la clave de administrador del equipo víctima con windows para instalar y ejecutar el programa espía. A lo mejor alguno de vosotros consigue encontrarla:

    https://wikileaks.org/vault7/document/BothanSpy_1_0-S-NF/

    Un saludo

  • Amir Torrez

    Debe ser de esos que llaman sarcasmo a una frase con «:v»

  • -.-

    Pero no en todos lados hay la misma cantidad de fanáticos, ni del mismo calibre, ni con la misma insistencia, ni con la misma ceguera.

    En el caso contrario que mencionas lo más que verías es gente haciendo alusión a que ese hecho desmitifica la prédica contraria. En mi opinión eso no sería ni fanboyismo, sino la natural reacción de haber estado décadas recibiendo el aguacero de un evangelio que se demuestra era simple dogmatismo y mitología.

  • javron

    MAs claro que el agua de donde vino el asunto global del ransomware la vez pasada , recuerdo como le di una tunda al que defiende la propaganda , lo deje hinchado de la cara

  • javron

    le popo, le pupu hace el tren

  • Amir Torrez

    Deberías andar más por acá, el windows fanboyismo es extremo.

  • metalking

    no pos ok tio joder no me di cuenta

  • Quemasda

    Me respondo a mí mismo para añadir que en otra herramienta llamada «Outlawcountry», aplicada a Linux, también requiere tener acceso a la consola y tener privilegios de administrador (root), como se indica aquí:

    https://wikileaks.org/vault7/document/OutlawCountry_v1_0_User_Manual/page-7/#pagination

    Un saludo.

Top 5 Cupones

Lo más leído