CIA har kunnet kontrollere din wi-fi router siden 2007

Avansert firmware fra CIA har infisert wi-fi routere i mange år. De siste lekkasjene fra Wikileaks’ Vault7 avslører den hemmelige nettverksspioneringen CIA har bedrevet siden 2007.

Hjemme-routere fra ti produsenter, inkludert Linksys, DLink og Belkin, kan omgjøres til skjulte overvåkningsapparater som lar CIA overvåke og manipulere innkommende og utgående trafikk, og infisere tilkoblede enheter. Dette ifølge hemmelige dokumenter avslørt av Wikileaks torsdag.

CherryBlossom, som er kodenavnet, kan være spesielt effektivt mot brukere av visse DLink-produserte DIR-130 modeller og Linksys-produserte WRT300N modeller fordi de kan infiseres eksternt selv når de bruker et sterkt administrator-passord. Et exploit med kodenavnet Tomato kan oppdage passord så lenge standardfunksjonen kjent som Universal Plug and Play er koblet til. Routere som er beskyttet med et standard “default” passord eller et svakt passord er selvsagt enkle å infisere. I alt avslører dokumentene at CherryBlossom kjører på 25 forskjellig router-modeller, med det er sannsynlig at enkle modifikasjoner muliggjør at det kjøres på minst 100 flere.

Den 175 sider lange CherryBlossom brukerhåndboken beskriver et Linux-basert operativsystem som kan kjøre på et bredt spekter av routere. Når det først er installert, gjør CherryBlossom enheten om til en “FlyTrap”, som sender et signal til en CIA-kontrollert server med navnet “CherryTree”. Signalet inneholder enhetsstatus og sikkerhetsinformasjon som CherryTree logger til en database. Som svar sender CherryTree  den infiserte enheten et “oppdrag” som består av spesifikke oppgaver som er skreddersydd for målet. CIA-operatører kan bruke et “CherryWeb” nettleserbasert brukergrensesnitt for å vise FlyTrap-stauts og sikkerhetsinformasjon, planlegge nye oppdrag, vise oppdragsrelatert data og utføre systemadministrasjonsoppgaver.

Slike oppdrag kan rette seg mot tilkoblede brukere basert på IP, epost-adresser, MAC-adresser, chat-brukernavn og VoIP-nummer. Oppgavene kan inkludere kopiering av all eller noe av trafikken, kopiere epost-adresser, brukernavn og VoIP-nummer, bruke en funksjon som kalles “Windex”, som omdirigerer en brukers nettleser dersom den forsøker et drive-by angrep, etablere en virtuell nettverkstilkobling som gir tilgang til det lokale nettverket, og proxying av alle nettverksforbindelser.

All kommunikasjon mellom FlyTrap og den CIA-kontrollerte CherryTree, med unntak av kopierte nettverksdata, er kryptert og kryptografisk godkjent. For å kamufleres ekstra, maskerer de krypterte dataene seg som en nettleser-cookie i en HTTP GET-forespørsel for en bildefil. CherryTree-serveren reagerer deretter på forespørselen med en tilsvarende binær bildefil.

I mange henseender er CherryBlossom ikke særlig forskjellig fra DNSChanger og andre typer router malware som har infisert hundretusener av enheter de siste årene. Det som skiller CIA-programvaren fra disse, er den komplette pakken med funksjoner, inkludert brukergrensesnitt, kommandoserverstøtte og en lang liste med oppgaver.

Dessuten; disse dokumentene er datert i 2007, da router-hacking var mye mindre utviklet enn det er nå.

Les hele artikkelen her.

Be the first to comment

Leave a Reply

Your email address will not be published.