info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

افشای ابزرا‌های شنود ارتباط‌های امن SSH توسط سیا

خلاصه: ویکی لیکس اخیرا مستنداتی را درباره‌ی ابزارهای مخرب سازمان امنیت امریکا که با نام سیا شناخته می‌شود برای شنود ارتباطات امن SSH منتشر کرده است. اولین ابزار BothanSpy نام دارد که SSH Client xshell را بر روی ماشین های ویندوزی هدف قرار می‌دهد و دومین ابزار Gyrfalcon نام دارد و کلاینت‌های OpenSSH را هدف قرار می‌دهد. هر دو ابزار قادر به سرقت مجوز دسترسی کاربر و جاسوسی در ترافیک نشست‌ها هستند.

 

ویکی‌لیکس پانزدهمین دسته از روش‌های نفوذ CIA را منتشر کرد. این سری از افشاگری‌های ویکی‌لیکس مستنداتی درباره ی جزئیات دو روش مورد استفاده سیا برای شنود ارتباطات SSH در سیستم عامل‌های ویندوز و لینوکس و ابزارهای مورد استفاده ارائه داده است. طبق این مستندات سیا از دو ابزار برای شنود ارتباطات SSH استفاده می‌کند.

ابزار BothanSpy برای نفوذ به کاربرxshell  ویندوز و ابزار  Gyrfalconکه کلاینت openSSH را در توزیع های مختلف سیستم عامل لینوکس شامل CentOS، Red Hat، Debian ، OpenSUSE و اوبونتو هدف قرار می‌دهد.  هردو ابزار مجوز کاربر برای همه ی نشست های فعال SSH را دزدیده و به یک سرور کنترل شده توسط CIA ارسال می کند.

Secure shell یا SSH یک پروتکل شبکه‌ی مبتنی بر رمزنگاری برای دسترسی از راه دور به ماشین‌ها و سرور‌ها به صورت امن در یک شبکه ناامن است. این پروتکل امنیت ارتباط را با استفاده از یک رمزنگاری قوی محافظت می‌کند.

 BothanSpy به عنوان یک افزونه Shellterm 3.x بر روی ماشین ویندوزی هدف نصب می‌شود. این ابزار فقط زمانی که xshell با نشست‌های فعال بر روی سیستم در حال اجرا است کار می‌کند. Xshell یک شبیه‌ساز ترمینال قدرتمند است که از پروتکل‌های SSH، SFTP، TELNET، Rlogin و SERIAL برای ارائه‌ی  ویژگی‌های پیشرو صنعتی شامل ارسال پورت پویا‌، نگاشت کلید، دکمه‌های تعریف شده توسط کاربر و اسکریپت نویسی VB پشتیبانی می‌کند.

مجوزهای برنامه شامل نام کاربری و رمز عبور هستند که برای همه‌ی نشست‌های فعال سرقت می‌شوند. با استفاده از کانال F&C  ‪(fire and collect)‬ اطلاعات سرقت شده برای مهاجم ارسال می‌شوند. قبل از اجرای BothanSpy در سیستم هدف، باید یک مجری F&C اجرا شود. اگرچه ترجیح داده نشده اما BothanSpy در حالت F&F ‪(fire & forget)‬ نیز کار می‌کند. این حالت فایل‌هایی را شامل مجوز رد شده از  Xshell با رمزنگاری AES-256 می سازد.

Gyrfalcon سیستم های لینوکسی با هسته‌های ۳۲ یا ۶۴ بیتی را هدف قرار می‌دهد و از یک روت‌کیت JQC/KitV توسعه داده شده توسط سیا برای دسترسی مداوم استفاده می‌کند. Gyrfalcon قادر به جمع آوری همه یا قسمتی از ترافیک نشست‌های OpenSSH و ذخیره‌ی آن‌ها در یک فایل رمزنگاری شده برای فشرده سازی های بعدی می‌باشد. این ابزار به صورت خودکار اجرا می شود و به صورت پیشرفته پیکربندی شده و بر روی سیستم راه دور راه اندازی و اجرا می‌شود.

گاهی اوقات در طول این فرآیند، اپراتور به Gyrfalcon فرمان می‌دهد که همه‌ی مجموعه‌ی جمع آوری شده را به یک دیسک انتقال دهد. اپراتور فایل جمع آوری شده را بازیابی و رمزگشایی کرده و اطلاعات جمع آوری شده را تحلیل می‌کند.

راهنمای Gyrfalcon نشان می‌دهد که این ابزار شامل دو فایل باینری کامپایل شده می‌باشد که باید همراه با فایل پیکربندی رمزنگاری شده  بر روی سیستم هدف آپلود شود.

Gyrfalcon هیچ سرویس ارتباطی را بین کامپیوتر اپراتور محلی و سیستم هدف برقرار نمی‌کند و اپراتور باید از یک برنامه ی سوم برای آپلود کردن این سه فایل به پلتفرم مقصد استفاده کند.

راهنمای کاربری این ابزار ادعا می‌کند که این ابزار فقط به ضبط اطلاعات ورود یک کاربر نمی‌پردازد بلکه قابلیت اجرای دستورات از طرف کاربر واقعی را نیز داراست.

این ابزار یک کتابخانه است که بر روی OpenSSH در پلتفرم های لینوکسی بارگذاری شده و شامل یک برنامه برای فشرده‌سازی، رمزنگاری و ذخیره داده‌ها در یک فایل بر روی لینوکس است.

یک برنامه سوم برای انتقال کلیدها و داده‌های ضبط شده از سیستم لینوکسی به اپراتور سیا نیاز است. (اپراتور های سیا برای نظارت بر دستگاه‌های هک شده توسط بدافزار‌ها و ابزارهای سیا استفاده می‌شوند و می‌توانند به صورت فیزیکی یا مجازی بوده و بر روی سرورهای سیا ذخیره می‌شوند.)