WikiLeaks publiceert CIA-methodes om routers binnen te dringen
WikiLeaks heeft een nieuwe publicatie in zijn Vault 7-reeks online gezet. Deze draait om het Cherry Blossom-project van de CIA, dat zich richt op het uitbuiten van kwetsbaarheden in routers en toegangspunten, om bijvoorbeeld man-in-the-middleaanvallen uit te kunnen voeren.
De CIA omschrijft Cherry Blossom in een van de documenten die WikiLeaks
publiceert, als een manier om internetactiviteit te monitoren en software-exploits uit te voeren bij doelwitten. "CB is vooral gericht op het binnendringen van draadloze netwerkapparaten, zoals routers en accesspoints om deze doelen te bereiken."
De documenten beschrijven hoe netwerkapparaten van aangepaste firmware voorzien kunnen worden, al dan niet draadloos op afstand, om er zogenoemde FlyTraps van te maken. Deze FlyTraps leggen een verbinding met CherryTree, een command&control-server. Daarbij wordt informatie over de status van het netwerkapparaat overgebracht, die CherryTree in een database verzamelt. De server kan ook opdrachten versturen naar het netwerkapparaat en via browser-interface CherryWeb kan een CIA-medewerker het beheer uitvoeren.
Bij man-in-the-middleaanvallen kan de CIA via een FlyTrap netwerkverkeer scannen op mailadressen, chatnamen, mac-adressen en voipnummers. Ook kan al het netwerkverkeer afgevangen worden en kunnen gebruikers van het netwerk met browsers doorgesluisd worden naar exploits. Daarnaast kan een FlyTrap vpn-tunnels opzetten naar vpn-servers voor directe toegang tot clientapparaten op het netwerk.
Onderdeel van de publicatie is een overzicht van routers en toegangspunten met daarbij vermeld of er een mogelijkheid is om draadloos de firmware bij te werken en of een exploit het beheerderswachtwoord kan achterhalen. Onder andere bij de DLink DIR-130 met firmware v1.12 en de Linksys WRT300N met versie 2.00.08 is dat het geval,
constateerde HackerFantastic.
