WikiLeaks เผยเครื่องมือที่ CIA ใช้ขโมย Credential จาก SSH บน Windows และ Linux

WikiLeaks ออกมาเผยเครื่องมือที่ CIA เคยใช้โจมตีอีกแล้วตามโครงการ Vault 7 และในครั้งนี้ก็เป็นคราวของเครื่องมือขโมย Secure Shell (SSH) Credential จากบนทั้ง Windows และ Linux โดยอาศัยแนวทางที่ต่างกัน

 

BothanSpy เป็นชื่อของเครื่องมือขโมย SSH Credential จาก Microsoft Windows Xshell Client โดยการติดตั้งลงไปที่เครื่องของเหยื่อในฐานะของ Shellterm 3.x Extension สำหรับ Windows รุ่นที่เป็น x64 และจะเริ่มทำงานก็ต่อเมื่อ Xshell เริ่มทำงานเท่านั้น โดยมีคู่มือการใช้งานถูกเปิดเผยอยู่ที่ https://wikileaks.org/vault7/document/BothanSpy_1_0-S-NF/BothanSpy_1_0-S-NF.pdf

ส่วน Gyrfalcon เป็นชื่อของเครื่องมือขโมย SSH Credential ด้วยการโจมตี OpenSSH บน Linux ค่ายต่างๆ เช่น CentOS, Debian, RHEL, openSUSE และ Ubuntu ทั้งแบบ 32-bit และ 64-bit โดยทำงานร่วมกับจ JQC/KitV Rootkit ที่ทาง CIA พัฒนาขึ้นมาเอง โดย Gyrfalcon นี้สามารถดัก OpenSSH Session Traffic มาเข้ารหัสและจัดเก็บเอาไว้เพื่อนำมาใช้งานในภายหลังได้ โดยผู้โจมตีต้องอาศัยเครื่องมืออื่นๆ ในการส่งข้อมูลเหล่านี้กลับไปใช้งานเอง โดยมีคู่มือการใช้งานเปิดเผยอยู่ที่ https://wikileaks.org/vault7/document/Gyrfalcon-1_0-User_Manual/Gyrfalcon-1_0-User_Manual.pdf

นับเป็นการเปิดเผยเครื่องมือครั้งที่ 15 ในโครงการ Vault 7 ว่า CIA มีแนวทางในการโจมตีขโมยข้อมูลต่างๆ อย่างไรกันบ้างนะครับ ก็ต้องติดตามกันต่อไปว่าหลังจากนี้จะมีการเปิดเผยอะไรอีก

 

ที่มา: http://thehackernews.com/2017/07/ssh-credential-hacking.html



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

เตือนช่องโหว่ RSA Implementation บน F5 Big-IP เสี่ยงถูกดักฟังข้อมูลที่เข้ารหัส

F5 Networks ผู้นำด้านเทคโนโลยี Application Delivery Networking ออกมาแจ้งเตือนถึงช่องโหว่ RSA Implementation บน F5 Big-IP ซึ่งช่วยให้แฮ็คเกอร์สามารถดักฟังข้อมูลที่ถูกเข้ารหัสหรือโจมตีแบบ Man-in-the-Middle โดยไม่จำเป็นต้องทราบ …

รู้จักบริการ DNS ฟรีใหม่ 9.9.9.9 เสริมความปลอดภัยด้วย IBM X-Force Threat Intelligence

ก่อนหน้านี้เราอาจคุ้นเคยกับบริการ DNS ที่ 8.8.8.8 ของ Google ที่เปิดให้ใช้งานกันได้ฟรีๆ มาโดยตลอดเป็นอีกทางเลือกหนึ่ง แต่ตอนนี้ทาง Global Cyber Alliance (GCA) นั้นได้ร่วมกับ IBM …