Unter dem Namen "Vault 7" hat Wikileaks in den vergangenen Monaten zahlreiche Informationen über jene Tools veröffentlicht, mit denen der US-Geheimdienst Smartphones, Router oder auch Desktop-Rechner unterwandert – oder dies zumindest versucht. Zuletzt ist die Frequenz der Veröffentlichungen zwar zurückgegangen, nun gibt es aber wieder neue Dokumente aus dem Vault-7-Fundus.

BothanSpy

In der aktuellsten Veröffentlichung beschreibt Wikileaks zwei Tools, mit denen SSH-Verbindungen unterwandert werden sollen. So gibt es unter dem Namen "BothanSpy" ein Spionageprogramm, das gezielt den Xshell-Client für Windows adressiert. Ziel ist es Login-Name und Passwort von laufenden SSH-Verbindungen auszuspionieren. BothanSpy kann dabei die erbeuteten Credentials wahlweise an einen von der CIA kontrollierten Server im Netz verschicken oder in einem verschlüsselten File lokal speichern.

Gyrfalcon

Unter dem Namen "Gyrfalcon" steht der CIA aber auch ein Linux-Pendant zur Verfügung, das auf das unter dem freien Betriebssystem weit verbreitete OpenSSH ausgerichtet ist. Die Spionagesoftware geht dabei sogar noch einen Schritt weiter als die Windows-Variante. Kann diese doch nicht nur die Login-Daten stehlen, sondern gleich auch die gesamte SSH-Session mitprotokollieren. Gespeichert werden diese Daten dann lokal – natürlich verschlüsselt, versteht sich.

Beide Spionagetools sind dazu gedacht, manuell auf den Zielgeräten installiert zu werden. Im Fall der Linux-Variante bildet ein von der CIA entwickeltes Rootkit namens JQC/KitV die Grundlage. Wie bei allen Vault-7-Veröffentlichung gilt die Einschränkung, dass die Dokumente zum Teil schon einige Jahre alt sind, die Beschreibung zum Linux-Tool stammt etwa aus 2013. Trotzdem ist davon auszugehen, dass der US-Geheimdienst dieses oder ähnliche Programme weiterhin aktiv einsetzt.

SSH dient zum Fernzugriff auf andere Rechner und wir vor allem von Systemadministratoren eingesetzt. (apo, 11.7.2017)