Das WikiLeaks-Team hat Informationen über die Software veröffentlicht, mit der die CIA Heimrouter seit Jahren infiziert hat.

Published on June 18, 2017

Das WikiLeaks-Team hat Informationen über die Software veröffentlicht, mit der die CIA Heimrouter seit Jahren infiziert hat.



    Es scheint, dass die CIA-Software-Toolbox unerschöpflich ist. Das WikiLeaks-Team hat bereits mehrere Sammlungen solcher Software veröffentlicht, aber jede neue Veröffentlichung ist eine weitere Überraschung. Vor ein paar Tagen, das Team WikiLeaks veröffentlicht über noch eine andere Sammlung von Exploits CIA wurden verwendet , um die Router 10 der bekanntesten Hersteller von Netzwerk - Equipment, einschließlich Linksys, Dlink und Belkin angreifen. Die Software ermöglichte es Angreifern, den Datenverkehr zu überwachen und zu manipulieren. Dies gilt sowohl für eingehende als auch für ausgehende Datenpakete. Außerdem wurde dieselbe Software zum Infizieren angeschlossener Geräte verwendet.

    Das fragliche Softwarepaket ist CherryBlossom. Es wird berichtet, dass diese Software für mehrere Router-Modelle, einschließlich D-Link DIR-130 und Linksys WRT300N, am effektivsten ist. Dies liegt daran, dass diese Geräte auch dann anfällig für Remote-Hacker sind, wenn Sie ein komplexes Administratorkennwort verwenden. Einer der Exploits des Pakets namens Tomato ermöglicht es Ihnen, Kennwörter zu extrahieren, egal wie schwierig diese sind. Gleichzeitig bleibt die universelle Plug & Play-Funktion aktiviert und kann von Hackern verwendet werden.

    Dem Bericht von WikiLeaks nach zu urteilen, hackten die Mitarbeiter mit Hilfe dieser bösartigen Software den Schutz von etwa 25 Routermodellen. Bei der Änderung dieser Software wurde das "Sortiment" anfälliger Geräte auf 100 Modelle erweitert.



    Die Beschreibung des Softwarepakets aus der CIA umfasst 175 Seiten . Die Informationen sind erschöpfend. Sobald der Exploit eine Sicherheitsanfälligkeit findet und den Router infiziert, erhält er den FlyTrap-Status, indem er sich mit einem CIA-Server unter dem Codenamen CherryTree in Verbindung setzt. Der Router sendet regelmäßig Informationen über seinen Status und verschiedene Informationen, die für die CIA-Verantwortlichen bei ihren Aktivitäten von Nutzen sein können. Bei Bedarf kann der Router verschiedene Aufgaben senden. Verfolgen Sie beispielsweise den Verkehr eines bestimmten Typs oder ändern Sie ihn auf besondere Weise.

    Außerdem kann die CIA auf Wunsch fast jedes an den Router angeschlossene Gerät infizieren. Überwachen Sie auch die IP-Adresse, MAC-Adressen dieser Geräte, E-Mail-Benutzer, deren Spitznamen und VoIP-Nummern. Falls gewünscht, war es möglich, den gesamten Datenverkehr eines bestimmten Benutzers zu verfolgen oder den Browser auf dem Computer des Opfers zu zwingen, den Zugriff auf die Sitzungen des aktuellen Benutzers zu öffnen.


    Cherry Blossom-Infrastruktur

    Es ist interessant, dass alle Informationen, die vom infizierten Router an den CIA-Server übertragen werden, verschlüsselt wurden. Um Zugriff darauf zu erhalten, ist eine kryptografische Authentifizierung erforderlich, sodass eine dritte Person (z. B. ein Informationssicherheitsspezialist, der den Zugriff des Routers auf einen Fremdserverserver erkannt hat) diesen Datenverkehr nicht entschlüsseln konnte.

    Die technischen Nuancen des CIA-Softwarepakets für Router sind nicht neu - hier gibt es nichts für Spezialisten, die überraschen könnten. All dies wird seit vielen Jahren von Vertretern von Eindringlingen und Infobasen eingesetzt. Aber das CherryBlossom-Paket kann im Prinzip als das funktionsfähigste von allen bezeichnet werden, das jemals verwendet wurde (natürlich sprechen wir nur über die Software, von der etwas bekannt ist). Es gibt eine benutzerfreundliche Oberfläche, eine Befehlszeilenverwaltung und eine ganze Liste weiterer Funktionen.

    Es ist erwähnenswert, dass die Informationen zu dieser Software von WikiLeaks im Rahmen der Mission Vault7 entdeckt wurden. Zuvor hat die Ressource bereits eine große Menge an Informationen über die Spyware von der CIA sowie über die Software selbst bereitgestellt. Die CIA hat bisher noch keine Beteiligung bestätigt oder dementiert, aber es bleibt nichts zu tun. Informationssicherheitsexperten, die diese Informationen studiert haben, behaupten jedoch, dass die CIA an der Erstellung von Software und an der Erstellung technischer Dokumentation für sie beteiligt ist. Daran besteht kein Zweifel.

    In dieser Version enthält WikiLeaks keinen Quellcode oder ausführbare Dateien. All diese Software kann laut Vertretern der Ressource in die falschen Hände geraten, und dann werden die Schwachstellen von Routern mit dreifacher Eifer ausgenutzt. Das Layout der Software selbst wird von einer Gruppe von Hackern, Shadow Brokers, gehandhabt, die gegen die Politik von Donald Trump protestieren. Ihre Arbeit führte zur Verbreitung von WCry-Malware, die 727.000 Computer in 90 Ländern infizierte. Es ist jedoch noch nicht bekannt, ob diese Leute über Software verfügen, über die WikiLeaks spricht oder nicht.