Сайт WikiLeaks опубликовал документы проекта ЦРУ под названием CherryBlossom (Cherry Blossom, «Вишневый цвет»), который разрабатывался и реализовала с помощью некоммерческой организации Стэнфордский исследовательский институт (SRI International).
RELEASE: CIA &&CherryBlossom&& & &&CherryBomb&& have been infecting #DLink, #Belkin & #Linksys WiFi routers for years https://t.co/uCQLaaRwrO pic.twitter.com/gEfD84RKlX
— WikiLeaks (@wikileaks) 15 июня 2017 г.
Проект CherryBlossom предоставляет средства мониторинга Интернет активности и выполнения программных эксплойтов на целевых устройствах, называемых Targets. В частности, CherryBlossom ориентирован на компрометацию беспроводных сетевых устройств, таких как беспроводные маршрутизаторы и точки доступа (AP). Такие Wi-Fi устройства обычно используются как часть интернет-инфраструктуры в частных домах, общественных местах (барах, гостиницах или аэропортах), организациях малого и среднего бизнеса, а также в офисах крупных предприятий. Поэтому эти устройства являются идеальной целью для проведения атак “Man-In-The-Middle” (“человек посередине”), поскольку в этом случае злоумышленник может легко контролировать и управлять интернет-трафиком подключенных пользователей. Изменяя поток данных между пользователем и интернет-сервисами, зараженное устройство может внедрять вредоносный контент в поток для использования уязвимостей в приложениях или операционной системе на компьютере целевого пользователя.
Само устройство беспроводной связи взламывается путем внедрения на него встроенной прошивки CherryBlossom. Некоторые устройства поддерживают обновление прошивки по беспроводной линии, поэтому для успешного заражения даже не требуется физический доступ к устройству. После того, как новая прошивка на устройстве будет установлена, маршрутизатор или точка доступа станут так называемым FlyTrap. FlyTrap является маяком для командного сервера, называемого CherryTree. Полученная информация содержит данные о состоянии устройства и его безопасности, которые CherryTree регистрирует в базе данных. В ответ на эту информацию CherryTree отправляет задачи, определенным оператором. Оператор может использовать CherryWeb, пользовательский интерфейс на основе браузера, чтобы просматривать информацию о статусе и безопасности Flytrap, планировать задачи, просматривать данные, связанные с задачей, и выполнять операции администрирования системы.
Среди наиболее распространенных задач: мониторинг активности Targets, эксплуатация уязвимостей на устройствах Targets для исполнения вредоносного кода и инструкции о дате и способе передаче следующего сигнала маяка. Задачи Flytrap могут включать сканирование электронных писем, имен пользователей в мессенджерах, MAC адресов и номеров VoIP для запуска дополнительных действий, а также копирование всего сетевого трафика целевой системы и перенаправление или проксирование трафика. FlyTrap также может устанавливать VPN-туннели на принадлежащий CherryBlossom VPN-сервер, чтобы предоставить оператору доступ к клиентам в WLAN / LAN для дальнейшей эксплуатации. Когда Flytrap обнаружит Target, он отправит предупреждение в CherryTree и начнет любые вредоносные действия против Target. CherryTree регистрирует оповещения в базе данных и, возможно, распространяет информацию о предупреждениях заинтересованным сторонам (через Catapult).
Угрозы безопасности
• Apple устранила более 50 уязвимостей в свежих обновлениях iOS, iPadOS и macOS
• Вирус Triada на поддельных смартфонах крадёт Telegram-аккаунты и криптовалюту
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России