Сайт WikiLeaks опубликовал документы проекта ЦРУ под названием CherryBlossom (Cherry Blossom, «Вишневый цвет»), который разрабатывался и реализовала с помощью некоммерческой организации Стэнфордский исследовательский институт (SRI International).
RELEASE: CIA &&CherryBlossom&& & &&CherryBomb&& have been infecting #DLink, #Belkin & #Linksys WiFi routers for years https://t.co/uCQLaaRwrO pic.twitter.com/gEfD84RKlX
— WikiLeaks (@wikileaks) 15 июня 2017 г.
Проект CherryBlossom предоставляет средства мониторинга Интернет активности и выполнения программных эксплойтов на целевых устройствах, называемых Targets. В частности, CherryBlossom ориентирован на компрометацию беспроводных сетевых устройств, таких как беспроводные маршрутизаторы и точки доступа (AP). Такие Wi-Fi устройства обычно используются как часть интернет-инфраструктуры в частных домах, общественных местах (барах, гостиницах или аэропортах), организациях малого и среднего бизнеса, а также в офисах крупных предприятий. Поэтому эти устройства являются идеальной целью для проведения атак “Man-In-The-Middle” (“человек посередине”), поскольку в этом случае злоумышленник может легко контролировать и управлять интернет-трафиком подключенных пользователей. Изменяя поток данных между пользователем и интернет-сервисами, зараженное устройство может внедрять вредоносный контент в поток для использования уязвимостей в приложениях или операционной системе на компьютере целевого пользователя.
Само устройство беспроводной связи взламывается путем внедрения на него встроенной прошивки CherryBlossom. Некоторые устройства поддерживают обновление прошивки по беспроводной линии, поэтому для успешного заражения даже не требуется физический доступ к устройству. После того, как новая прошивка на устройстве будет установлена, маршрутизатор или точка доступа станут так называемым FlyTrap. FlyTrap является маяком для командного сервера, называемого CherryTree. Полученная информация содержит данные о состоянии устройства и его безопасности, которые CherryTree регистрирует в базе данных. В ответ на эту информацию CherryTree отправляет задачи, определенным оператором. Оператор может использовать CherryWeb, пользовательский интерфейс на основе браузера, чтобы просматривать информацию о статусе и безопасности Flytrap, планировать задачи, просматривать данные, связанные с задачей, и выполнять операции администрирования системы.
Среди наиболее распространенных задач: мониторинг активности Targets, эксплуатация уязвимостей на устройствах Targets для исполнения вредоносного кода и инструкции о дате и способе передаче следующего сигнала маяка. Задачи Flytrap могут включать сканирование электронных писем, имен пользователей в мессенджерах, MAC адресов и номеров VoIP для запуска дополнительных действий, а также копирование всего сетевого трафика целевой системы и перенаправление или проксирование трафика. FlyTrap также может устанавливать VPN-туннели на принадлежащий CherryBlossom VPN-сервер, чтобы предоставить оператору доступ к клиентам в WLAN / LAN для дальнейшей эксплуатации. Когда Flytrap обнаружит Target, он отправит предупреждение в CherryTree и начнет любые вредоносные действия против Target. CherryTree регистрирует оповещения в базе данных и, возможно, распространяет информацию о предупреждениях заинтересованным сторонам (через Catapult).
Угрозы безопасности
• Уязвимости Apple «AirBorne» могут привести к удаленному взлому iPhone, iPad и Mac через AirPlay без участия пользователя
• Cloudflare отражает рекордное число DDoS-атак в 2025 году
• Уязвимость в Linux-интерфейсе io_uring позволяет скрытым руткитам обходить защиту
• Французские власти снова пытаются получить доступ к сообщениям в Telegram
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания