WikiLeaks ออกมาเผยเครื่องมือที่ CIA เคยใช้โจมตีอีกแล้วตามโครงการ Vault 7 และในครั้งนี้ก็เป็นคราวของเครื่องมือขโมย Secure Shell (SSH) Credential จากบนทั้ง Windows และ Linux โดยอาศัยแนวทางที่ต่างกัน
BothanSpy เป็นชื่อของเครื่องมือขโมย SSH Credential จาก Microsoft Windows Xshell Client โดยการติดตั้งลงไปที่เครื่องของเหยื่อในฐานะของ Shellterm 3.x Extension สำหรับ Windows รุ่นที่เป็น x64 และจะเริ่มทำงานก็ต่อเมื่อ Xshell เริ่มทำงานเท่านั้น โดยมีคู่มือการใช้งานถูกเปิดเผยอยู่ที่ https://wikileaks.org/vault7/document/BothanSpy_1_0-S-NF/BothanSpy_1_0-S-NF.pdf
ส่วน Gyrfalcon เป็นชื่อของเครื่องมือขโมย SSH Credential ด้วยการโจมตี OpenSSH บน Linux ค่ายต่างๆ เช่น CentOS, Debian, RHEL, openSUSE และ Ubuntu ทั้งแบบ 32-bit และ 64-bit โดยทำงานร่วมกับจ JQC/KitV Rootkit ที่ทาง CIA พัฒนาขึ้นมาเอง โดย Gyrfalcon นี้สามารถดัก OpenSSH Session Traffic มาเข้ารหัสและจัดเก็บเอาไว้เพื่อนำมาใช้งานในภายหลังได้ โดยผู้โจมตีต้องอาศัยเครื่องมืออื่นๆ ในการส่งข้อมูลเหล่านี้กลับไปใช้งานเอง โดยมีคู่มือการใช้งานเปิดเผยอยู่ที่ https://wikileaks.org/vault7/document/Gyrfalcon-1_0-User_Manual/Gyrfalcon-1_0-User_Manual.pdf
นับเป็นการเปิดเผยเครื่องมือครั้งที่ 15 ในโครงการ Vault 7 ว่า CIA มีแนวทางในการโจมตีขโมยข้อมูลต่างๆ อย่างไรกันบ้างนะครับ ก็ต้องติดตามกันต่อไปว่าหลังจากนี้จะมีการเปิดเผยอะไรอีก
ที่มา: http://thehackernews.com/2017/07/ssh-credential-hacking.html