Wikileaks odhalili „Cherry Blossom“ – bezdrôtový hackovací systém používaný CIA

Wikileaks uverejnili novú dávku informácií z prebiehajúceho Vault 7 úniku a pre tento raz sa týkajú rozhrania, ktoré používa CIA na monitorovanie internetovej aktivity cieľových systémov na základe zneužitia chýb vo Wi-Fi zariadeniach.

„Cherry Blossom“ je rozhranie (framework), ktorý bol údajne vytvorený CIA (Central Intelligence Agency) za pomoci Standfordského výskumného inštitútu (SRI International) - Amerického neziskového inštitútu, ktorý sa čiastočne podieľal na projekte „Cherry Bomb“.

Cherry Blossom je vlastne vzdialene kontrolovaný na firmware založený implantát (zvaný Flytrap) pre bezdrôtové zariadenia, pod ktoré patria rôzne Wi-Fi Routery a bezdrôtové prístupové body (AP), ktorý napadne zraniteľnosti v továrenskom firmware a získa neoprávnený prístup, pričom ďalší krok je výmena továrenského firmware napr. v routeri za svoj prispôsobený Cherry Blosson firmware.

Podľa Wikileaks, CIA hackeri používajú Cherry Blossom na infiltráciu do bezdrôtovej siete (zariadenia) a na cieľových sieťových pripojeniach realizujú tzv. man-in-the-middle útok (keď niekto tretí odpočúva komunikáciu medzi dvoma zariadeniami), aby mohli monitorovať a meniť internetovú komunikáciu pre pripojených používateľov. Akonáhle majú plný prístup a kontrolu nad bezdrôtovým zariadením, všetky údaje sú odosielané do CIA, kde sa o ne postará command-and-control server (počítač, ktorý dáva príkazy pre všetky pripojené Cherry Blossom útoky), ktorý sa nazýva CherryTree, odkiaľ firmware dostáva inštrukcie a vykonáva škodlivé úlohy, ktoré zahrňujú:

- Monitorovanie sieťovej komunikácie a zbieranie emailových adries, mená používateľov chatu/rôznych komunikátorov, MAC adresy a VoIP čísla
- Presmerovanie pripojených používateľov na škodlivé/phishing stránky
- Implementovať škodlivý obsah do objemu prenášaných dát, čím podvodne dodajú rôzne druhy malware, ktorými preberú
- Vytváranie VPN tunelov pre prístup ďalších CIA hackerov do postihnutého zariadenia pre ďalšie zneužitie
- Kopírovanie celej internetovej komunikácie cieľového zariadenia

Podľa inštalačnej príručky, Cherry Tree command-and-control server musí byť umiestnený na bezpečnom sponzorovanom mieste a nainštalovaný na Dell PowerEdge 1850, na ktorom vo virtuálnych strojoch beží nainštalovaná Linuxová distribúcia Red Hat Fedora 9 s aspoň 4 GB operačnej pamäte.

Značky zaradení, na ktoré je možné zaútočiť útokom Cherry Blossom:
Belkin, D-Link, Linksys, Aironet/Cisco, Apple AirPort Express, Allied Telesyn, Ambit, AMIT Inc, Accton, 3Com, Asustek Co, Breezecom, Cameo, Epigram, Gemtek, Global Sun, Hsing Tech, Orinoco, PLANET Technology, RPT Int, Senao, US Robotics and Z-Com.