В очередной порции документов (https://wikileaks.org/vault7/#BothanSpy), полученных в результате утечки данных из закрытой сети ЦРУ и размещённых на WikiLeaks, приводятся сведения о двух проектах по установке вредоносного ПО (имплантов в терминологии ЦРУ) на системы пользователей - BothanSpy (https://wikileaks.org/vault7/document/BothanSpy_1_0-S-NF/) и Gyrfalcon (https://wikileaks.org/vault7/document/Gyrfalcon-2_0-User_Gui.... Оба проекта обеспечивают перехват данных аутентификации, фигурирующих при установке защищённых сеансов по протоколу SSH.
Gyrfalcon нацелен на сбор параметров аутентификации (логин/пароль, закрытые SSH-ключи и пароли к SSH-ключам) у клиентов OpenSSH, а также поддерживает режим полного или выборочного сохранения содержимого SSH-сеансов и может выполнить подстановку команд в сеансы. Вся накопленная информация шифруется и сохраняется в файл для последующей отправки на внешний сервер, подконтрольный ЦРУ. Передача накопленных данных осуществляется по внешней команде. Варианты Gyrfalcon подготовлены для различных дистрибутивов Linux, включая RHEL, CentOS, Debian, openSUSE и Ubuntu.
Gyrfalcon запускается в виде отдельного процесса, который использует ptrace (https://en.wikipedia.org/wiki/Ptrace) для получения контроля за процессами штатного системного SSH-клиента. Имплант устанавливается в систему после получения привилегированного доступа, например после атаки с использованием неисправленных уязвимостей или через вход под перехваченной учётной записью. Для скрытия импланта и организации доступа к системе применяется руткит JQC/KitV. Дополнительно поставляется Python-скрипт для настройки работы Gyrfalcon и определения правил перехвата трафика.
Второй бэкдор BothanSpy близок по своим возможностям к Gyrfalcon, и отличается тем, что нацелен на слежку за пользователями Windows через подмену SSH-клиента Xshell. Бэкдор устанавливается в систему под видом расширения Shellterm 3.x и действует только для SSH-сеансов, осуществляемых через эмулятор терминала Xshell.URL: https://wikileaks.org/vault7/#BothanSpy
Новость: https://www.opennet.ru/opennews/art.shtml?num=46819
Блин, а почему для FreeBSD импланта нету? Снова фря оказалась никому ненужной?
Попробуй установить через линуксатор.
> Блин, а почему для FreeBSD импланта нету?Есть, да не про твою честь.
изя ты реально жалок. хватить BSDеть
>> Второй бэкдор BothanSpy близок по своим возможностям к Gyrfalcon, и отличается тем, что нацелен на слежку за пользователями Windows через подмену SSH-клиента Xshell
> Блин, а почему для FreeBSD импланта нету? Снова фря оказалась никому ненужной?Следят ведь не за самой ОСью, а за пользователями.
Как нет? Ну написали же в новости про второй бэкдор. Это и есть для пользователей бсд
> Второй бэкдор <...> нацелен на слежку за пользователями Windows
так это и есть пользователи BSD. все канонично и аутентично. через putty
Есть, просто фря менее распространённая.
Расскжите депутатам! Вот как надо причинять безопасность. Поучились бы.> Gyrfalcon запускается в виде отдельного процесса, который использует ptrace
> для получения контроля за процессамиБэкдор АПИ однако спалили. Ну, да этих трасировщиков в ядре, как грязи.
на проде ваще нуно выпиливать весь дев пакет, никаких компиляторов, отладчиков, страссировщиков и анализаторов. Вырубать репозитории, и контроллировать исходящий трафик
админы прода ОБЯЗАТЕЛЬНО должны носить шапочки из фольги и свинцовые труселя
ГЛАВНОЕ с головой на плечах
По идее самым востребованным и навороченым должен быть клиент для macOS т.к. все топ менеджеры, руководители т.п. просто обожают маки.
Не стыковочка получается
Почему у анонима идеи что "востребованные и навороченные" импланты ему дожны быть предоставлены, если у него нет ни властных полномочий ни денег. ?
>самым востребованным и навороченым должен быть
> Не стыковочка получаетсяЭ-э-э... Нестыковочка с чем? Где там в новости про "самый-самый", толстый-толстый?
Вы хотите, чтобы "их" публично унизили, или обижаетесь на то, что публично поунижали не "вас", я не совсем понял ваш посыл. Пишите понятнее.
> все топ менеджеры, руководители т.п. просто обожают маки.
> Не стыковочка получаетсяИ используют SSH? Действительно, нестыковочка. Ведь все топ-манагеры используют исключительно SSH!
А если серьёзно, на MacOS есть другие бекдоры, не беспокойтесь.
> По идее самым востребованным и навороченым должен быть клиент для macOS т.к.
> все топ менеджеры, руководители т.п. просто обожают маки.Ты давно видел топ-менеджера, использующего SSH?
> Ты давно видел топ-менеджера, использующего SSH?У нас такие водятся, а что? :)
PS: по существу темы: но небыдлo(tm) продолжит верещать про кговавую гэбню, для таких годится и простая дымзавеса...
> У нас такие водятся, а что?Миша, ты бы сходил на обследование. У тебя, по-моему, мания величия. Это ж надо — вообразить, будто ваша тухлая контора может заинтересовать ЦРУ! Она и в России-то никому не интересна.
Ну да, по вашему разумению. Под топ-менеджеров копают только лошки, ради инсайдов для игры на бирже и домашнего прона с их жёнами-муклами... Серьезные данные хранятся не на лэптопах топ-менеджеров. ))
и хоть бы ховту-шку написали как выявить и устранить.
...и ключи от квартиры, где деньги лежат.
С каждым днём все меньше людей, которые смеются, когда слышат, что у меня десктоп на OpenBSD. Спрашивают - да как так? А как ты работаешь? А зачем? И я всегда говорю, что в OpenBSD есть всё, что мне нужно для работы. Не верят. Говорят, там же Вайна нет! Лол. После замечания про вайн, обычно наступает мой черёд хохотать.
>Говорят, там же Вайна нет!Расскажи нам ещё этих дурацких историй да выпей чаю.
>После замечания про вайн, обычно наступает мой черёд хохотать.Поэтому ты никогда не смеёшься, да? Gwynplaine смотрит на тебя улыбаясь...
> Не верят. Говорят, там же Вайна нет! Лол. После замечания про вайн,
> обычно наступает мой черёд хохотать.ты просто не шаришь фишки. многие линуксоиды на самом деле латентные виндоус пользователи, поэтому им и нужен вайн. нынче круто винду запускать через линуксы.
Иногда хочется ведь поиграть в то, чего нет в этих ваших стимах.
Если бы поиграть... Лично мне иногда требуется перепрошивать проприетарные устройства (сигнализации, панели оператора и т.д.). Там софт простецкий, Вайн его хорошо переваривает. Ещё реже бывает нужен VirtualDub с его Deshaker'ом.
> Ещё реже бывает нужен VirtualDub с его Deshaker'ом.А что, deshake ffmpeg'а и DePan VapourSynth'а хуже работают?
> Иногда хочется ведь поиграть в то, чего нет в этих ваших стимах.Ога. В Bloodborne и Gravity Rush 2, например.
> многие линуксоиды на самом деле латентные виндоус пользователи, поэтому им и нужен вайн.Не нужен уже давно. У них есть WSL в десяточке.
Некоторым людям чтобы отдохнуть, хочется поиграть в дьяблу, например, а не рогалики в консоли гонять.
Странно, а если сказать что юзаешь линукс, то смеются...
Может просто о бсде и не слышали?ЗЫ: не слышу хохота по поводу кривых рук админа, кривой винды, слабых паролей в ключе "сам виноват"
> С каждым днём все меньше людей, которые смеются, когда слышат, что у меня десктоп на OpenBSDНе смеются, потому что не знают, что это такое. А вообще тема располагает к абсурдным комментариям, так что жги дальше.
> С каждым днём все меньше людей, которые смеются, когда слышат, что у
> меня десктоп на OpenBSD.Ну и чем тебя openbsd от ptrace спасёт? В linux на этот случай есть lsm (Documentation/security/Yama.txt), а в опёнке что?
>> меня десктоп на OpenBSD.
> Ну и чем тебя openbsd от ptrace спасёт? В linux на этот
> случай есть lsm (Documentation/security/Yama.txt), а в опёнке что?А опёнок - Родина слонов. Второй половины этой новости -- монокультуры openssh.
> в опёнке что?имхо важно не то, что в опенке, а что в линуксах. речь про импланты и руткиты. а что касается опенки, так до сих пор так ничего толкового и не создали. толку от птрэйса, руткитов и имплантов? если все по дефолту улетает в трубу с маппингом в опенке, при котором все поинтеры и дата в кернеле рандомизируются на каждый ребут. что ты там будешь перехватывать? какие вызовы подделывать?
так и запишем: пользуясь openbsd нужно постоянно перезагружаться
> так и запишем: пользуясь openbsd нужно постоянно перезагружатьсяи все равно это не поможет, но позволит чувствовать себя спокойнее.
>толку от птрэйса, руткитов и имплантов? если все по дефолту улетает в трубу с маппингом в опенке, при котором все поинтеры и дата в кернеле рандомизируются на каждый ребут. что ты там будешь перехватывать? какие вызовы подделывать?
>>толку от птрэйса, руткитов и имплантов? если все по дефолту улетает в трубу с маппингом в опенке, при котором все поинтеры и дата в кернеле рандомизируются на каждый ребут. что ты там будешь перехватывать? какие вызовы подделывать?
> https://forums.grsecurity.net/viewtopic.php?f=7&t=3367KARL (который в OpenBSD сейчас появился, а до этого аналогичный трюк был включён для libc) — это не KASLR.
В случае с KASLR относительные смещения «гаджетов» не меняются, в статье всё верно описано. А вот в случае с KARL мы на каждом ребуте получаем ядро, где гаджеты переупорядочены в памяти случайным образом, и чем их больше, тем веселее. После загрузки ядро также перемещает себя по случайному адресу (если быть честным, эта работа прямо сейчас продолжается для некоторых архитектур, к 6.2 должна быть завершена и отлажена), затирая исходную память, так что туда тоже уже не прыгнуть.
P.S.: Понты «а я такой крутой» я не одобряю, но речь не о них. :)
Просто распространение OpenBSD настолько незначительно, а пользователи настолько унылы, что следить за ними нет ни нужды, ни желания. Проще к каждому выехать лично и бить гаечным ключом за пять долларов до тех пор, пока он сам всё не расскажет.
> десктоп на OpenBSDмне тоже нравится опенка, но у меня карточка от нвидиа, а опенка не умеет в нвидию
по этой причине огромная масса потенциальных юзеров опенки отпадает
Про вайн проехали. А как у вас дела со стимом?
> OpenBSD
> OpenBSD
> У МИНЯ ОПЕНБСД, Я ЗАЩИЩЁН!!!111111одынДурачок думает, что у него нет бекдоров. Если их не нашли, не значит, что за тобой не следит АНБ.
С каждым днём все меньше людей, которые смеются, когда слышат, что у меня десктоп на Windows. Спрашивают - да как так? А как ты работаешь? А зачем? И я всегда говорю, что в Windows есть всё, что мне нужно для работы. Не верят. Говорят, там же POSIX нет! Лол. После замечания про позикс, обычно наступает мой черёд хохотать.
> И я всегда говорю, что в Windows есть всё, что мне нужно для работы.пасьянс косынка и калькулятор
На универсальность решений можно ответить разнообразием задач.
Даешь зоопарк разных ядер и приложений с рандомными именами и опциями утилит!
В связи с этим вопрос:
Вот ЦРУ перекрыло доступ к DNS серверу провайдера, насколько реально удалёнными способами спровоцировать systemd к защитым в нём гугловским DNS серверам, которые оно естественно предварительно подменит?
Не знаю, как там ЦРУ подменяет DNS-сервера Гугла, а вот по поводу Мегафона у меня сложилось стойкое ощущение, что он перехватывает ВСЕ запросы на 53 порт и заворачивает их на свои DNS-сервера.
Если бы только Мегафон. У всех наших провайдеров сейчас это что-то вроде best practices.
Пора Лёньке встраивать vpn и dnscrypt в системду.
> Если бы только Мегафон. У всех наших провайдеров сейчас это что-то вроде
> best practices.
> Пора Лёньке встраивать vpn и dnscrypt в системду.И будет их перехватывать не ФСБ, а какой-нибудь MIVD на выходе с VPN-сервера, сильно легче будет?
> Если бы только Мегафон. У всех наших провайдеров сейчас это что-то вроде
> best practices.
> Пора Лёньке встраивать vpn и dnscrypt в системду.А чего не попробовать заглянуть в репы? Может даже удивишься что там есть
> Не знаю, как там ЦРУ подменяет DNS-сервера Гугла, а вот по поводу
> Мегафона у меня сложилось стойкое ощущение, что он перехватывает ВСЕ запросы
> на 53 порт и заворачивает их на свои DNS-сервера.Перенаправь ДНС в Тор
и debian в списке... эх...
> и debian в списке... эх...Это Признание! Надо телеграму на debian.org отбить, поздравительную. >>>$>>>
> и debian в списке... эх...Самые популярные системы, используемые в качестве серверов в списке, да. Не думаю, что атака направлена на десктоп.
> Самые популярные системы, используемые в качестве серверов в списке, да. Не думаю,
> что атака направлена на десктоп.Учитывая, что речь идёт о перехвате соединений на стороне клиента, таки преимущественно на десктоп.
> применяется руткит JQC/KitV. Дополнительно поставляется Python-скрипт для настройки работы Gyrfalcon и определения правил перехвата трафика.А десктопа на линуксе <~ 2%, следовательно атака на вантуз невозможна?
Я один не понимаю, что мешает Дяде Васе напридумывать херни в pdf-формате, и отправить на викиликс типо "это ФБР-овские документы"?
Хватит трепаться. Отправь!
Ничто не мешает. А судя по информационному мусору (см. WikiLeaks Year Zero 2017), все это вызывает большие сомнения.
> Ничто не мешает. А судя по информационному мусору (см. WikiLeaks Year Zero
> 2017), все это вызывает большие сомнения.Вот вы и спалились, агенты АНБ.
А перед этим 20 лет назад закоммитить эксплойт? А потом через 20 лет обнародовать фейковый документ? Это очень глупая логика.
> Я один не понимаю, что мешает Дяде Васе напридумывать херни в pdf-формате,
> и отправить на викиликс типо "это ФБР-овские документы"?Мало какой дядя Вася сумеет составить такие увесистые документы, грамотные как с технической, так и с языковой точки зрения, и при этом выглядящие настолько правдоподобно, чтобы не вызвать подозрений по меньшей мере у тысяч специалистов, которые их прочитают.
,интересно..а у фсб есть такие же тулзы)))
> ,интересно..а у фсб есть такие же тулзы)))Теперь есть.
Это не правильно. Нужно импортозамещение.
Сделают как и с Русской (С) Национальной (ТМ) ОСъ (R) - просто переименуют уже готовое.
> ,интересно..а у фсб есть такие же тулзы)))На дурака не нужен нож,
Ему с три короба наврёшь -
И делай с ним, что хошь!Б.Окуджава
> На дурака не нужен нож,
> Ему с три короба наврёшь -
> И делай с ним, что хошь!Саш, когда поймёшь, как и зачем тебе наврали -- вот тогда и оценишь этот куплет по-настоящему.
> Б.Окуджава
компьютеров на всех не хватает,приходится на паяльниках учиться
> ,интересно..а у фсб есть такие же тулзы)))Что за детские вопросы, ты отчёты про APT28, что ли, не читал? То, что у них есть, по сравнению с этим — полнейший колхоз, потому и палятся постоянно.
>ptraceGentoo вне опасности, CFLAGS="-O3 -march=native"
объясни
Пора переходить неглядя?
Ты хочешь сказать, если соберёшь под текущий процессор, то ты вне опасности?
> Ты хочешь сказать, если соберёшь под текущий процессор, то ты вне опасности?Не! Пока он пересобирает -- он не вводит пароли и ключи. Враги сосут лапу.
Не останавливай пересборку, товарищЪ!
>работает с правами root и использует ptrace для получения контроля за процессами штатного системного SSH-клиента
>оформлен в виде разделяемой библиотеки, которая устанавливается в систему вместо штатной библиотеки libgssapi.so или загружается через LD_PRELOAD в адресное пространство клиента OpenSSH и перехватывает некоторые обработчики.Примитив. Там, где нужна безопасность, все это не работает. Если это уровень ЦРУ, то я хз. Phrack почитали-б, чтоль.
То есть ssh как протокол в безопасности и проблема опять в доступе к системе
> В очередной порции документовОпеннет
>Порция — количество какого-либо вида пищи, рассчитанное на разовый приём для одного человека
Википедия
Это что съедобные документы?
Для вас русский язык не родной?Толковый словарь Ушакова: ПОРЦИЯ, порции, жен. (лат. portio). 1. Определенная доля, количество чего нибудь. Порция хлеба. Порция табаку.
> Для вас русский язык не родной?Так написано же -- "википедия".
Это в словаре написано "чего нибудь"? Так, на всякий случай, чего-нибудь пишется через дефис.
> ВикипедияТолковый словарь достать с полки не судьба была?
А как этими штуками пользоваться, их нужно предварительно самому установить в систему, имея права root? По описанию выходит так.
> Имплант устанавливается в систему после получения привилегированного доступа, например после атаки с использованием неисправленных уязвимостей или через вход под перехваченной учётной записью.Другими словами, проехали. Прикрывай тылы и все будет ок.
Думаю те кто пользуются ссх имеют доступ напрямую к айпи блокируя все остальные айпи (читай все исходящие тсп и юдп соединение к другим айпи). Тогда смысл в ЦРУ шпиёне?
Да уж!!! Да после такого я сношу систему и буду выходить в инет только с LiveCD
> Да уж!!! Да после такого я сношу систему и буду выходить в
> инет только с LiveCDФирмварь привода уже проверил?
вы объект разработки цру, но так просто не сдадитесь? красочно.