Проект ЦРУ «CherryBlossom»: Wi-Fi роутеры для отслеживания интернет-активности пользователей

2017-06-16 3615 комментарии
Wikileaks опубликовал новые данные из архива Vault7, которые раскрывают подробности проекта ЦРУ "CherryBlossom", направленного на отслеживание интернет-активности пользователей с помощью зараженных прошивок для Wi-Fi роутеров DLink, Belkin, Linksys

Сайт WikiLeaks опубликовал документы проекта ЦРУ под названием CherryBlossom (Cherry Blossom, «Вишневый цвет»), который разрабатывался и реализовала с помощью некоммерческой организации Стэнфордский исследовательский институт (SRI International).

Проект CherryBlossom предоставляет средства мониторинга Интернет активности и выполнения программных эксплойтов на целевых устройствах, называемых Targets. В частности, CherryBlossom ориентирован на компрометацию беспроводных сетевых устройств, таких как беспроводные маршрутизаторы и точки доступа (AP). Такие Wi-Fi устройства обычно используются как часть интернет-инфраструктуры в частных домах, общественных местах (барах, гостиницах или аэропортах), организациях малого и среднего бизнеса, а также в офисах крупных предприятий. Поэтому эти устройства являются идеальной целью для проведения атак “Man-In-The-Middle” (“человек посередине”), поскольку в этом случае злоумышленник может легко контролировать и управлять интернет-трафиком подключенных пользователей. Изменяя поток данных между пользователем и интернет-сервисами, зараженное устройство может внедрять вредоносный контент в поток для использования уязвимостей в приложениях или операционной системе на компьютере целевого пользователя.

Само устройство беспроводной связи взламывается путем внедрения на него встроенной прошивки CherryBlossom. Некоторые устройства поддерживают обновление прошивки по беспроводной линии, поэтому для успешного заражения даже не требуется физический доступ к устройству. После того, как новая прошивка на устройстве будет установлена, маршрутизатор или точка доступа станут так называемым FlyTrap. FlyTrap является маяком для командного сервера, называемого CherryTree. Полученная информация содержит данные о состоянии устройства и его безопасности, которые CherryTree регистрирует в базе данных. В ответ на эту информацию CherryTree отправляет задачи, определенным оператором. Оператор может использовать CherryWeb, пользовательский интерфейс на основе браузера, чтобы просматривать информацию о статусе и безопасности Flytrap, планировать задачи, просматривать данные, связанные с задачей, и выполнять операции администрирования системы.

Среди наиболее распространенных задач: мониторинг активности Targets, эксплуатация уязвимостей на устройствах Targets для исполнения вредоносного кода и инструкции о дате и способе передаче следующего сигнала маяка. Задачи Flytrap могут включать сканирование электронных писем, имен пользователей в мессенджерах, MAC адресов и номеров VoIP для запуска дополнительных действий, а также копирование всего сетевого трафика целевой системы и перенаправление или проксирование трафика. FlyTrap также может устанавливать VPN-туннели на принадлежащий CherryBlossom VPN-сервер, чтобы предоставить оператору доступ к клиентам в WLAN / LAN для дальнейшей эксплуатации. Когда Flytrap обнаружит Target, он отправит предупреждение в CherryTree и начнет любые вредоносные действия против Target. CherryTree регистрирует оповещения в базе данных и, возможно, распространяет информацию о предупреждениях заинтересованным сторонам (через Catapult).

© .

Комментарии и отзывы

Добавляя комментарий, ознакомьтесь с Правилами сообщества

Нашли ошибку?