На 6 юли 2017 година популярният уеб-портал WikiLeaks публикува нова порция секретни документи на ЦРУ в рамките на поредицата материали с кодово име Vault 7. Това са шпионските проекти-импланти BothanSpy и Gyrfalcon.
BothanSpy и Gyrfalcon са предназначени за прихващане на SSH идентификационните данни. Двата проекта работят с различни операционни системи и използват различни методи на атака.
Първият имплант с кодово име BothanSpy е създаден за да промени работата на Microsoft Windows Xshell клиента и по този начин да се откраднат потребителските данни за всички активни SSH сесии. Имплантът може да отнеме потребителското име и паролата, ако се използва подобен SSH сеанс или името на скрития SSH ключ, ако се използва този вид идентификация. BothanSpy изпраща тези данни към сървърите на ЦРУ, а ако това по някакви причини не е удобно, временно използва файловата система за да съхрани информацията в криптиран вид и да я изпрати в друг по-удобен момент.
Gyrfalcon е имплант за OpenSSH клиентите на Linux (СentOS, Debian, Rhel, Suse, Ubuntu). Имплантът може да присвоява потребителските данни от активните сесии и частично да прихваща SSH трафика. Този малуер се инсталира на Linux машината с помощта на специално създадения от ЦРУ специализиран софтуер (JQC / KitV).
И в двата случая е необходим физически достъп до компютъра, за да се качат шпионските файлове. За тази цел се използва разнообразен софтуер на трети страни.
