Фото: Associated Press

ЦРУ спільно зі Стенфордським науково-дослідним інститутом створила проект «Вишневий цвіт» (CherryBlossom), який використовувався для злому роутерів з 2007 року, вказують документи, оприлюднені WikiLeaks в рамках серії витоків Vault 7.

CherryBlossom — це модифікована прошивка для популярних продуктів, в тому числі компаній D-Link і Linksys. Ряд пристроїв зламувався віддалено (спасибі паролям за замовчуванням і пролому в безпеці, який використовував хак під назвою Tomato), після чого встановлювалося ПЗ з «людиною посередині» (загальний термін для атаки, в якій весь трафік користувача додатково пересилається на сервера зловмисника).

Софт вміє перевіряти мережевий трафік на предмет адрес електронної пошти, логінів, MAC-адрес, номерів VoIP, копіювати мережевий трафік жертви, перенаправляти браузер, проксіровати мережеві підключення тощо. Принцип роботи схожий на інші методи злому роутерів, які теж вміють перехоплювати весь мережевий трафік, але відмінною рисою CherryBlossom виступає час появи — десять років тому сфера обходу захисту мережевого обладнання була розвинена значно слабше, ніж зараз.

Хто під загрозою?

Документи вказують, що D-Link DIR-130 і Linksys WRT300N піддавалися злому, як і 23 інших пристрої, уточнило видання ArsTechnica, а при невеликих модифікаціях софт можна було встановити на ще 100 моделей як мінімум.

В переліку задуються роутери Apple, ASUS, Cisco, Belkin ра інших виробників

Фахівці не розкрили потенційну кількість пристроїв або жертв, які можуть потрапити під атаку, але відзначили, що йдеться як про публічні точки доступу в кафе, аеропортах і барах, так і домашні мережеві пристрої.

D-Link DIR-130
D-Link DIR-130

Виробники не відповіли на запит Wired, чи вийшли поновлення, які закривають вразливість. Експерти відзначають, що в більшості випадків актуальні прошивки захищають від даної атаки ЦРУ, але нагадують, що рідкісний користувач регулярно оновлює прошивку роутера через складну процедуру, особливо на старих апаратах без мобільного застосунка і системи оповіщення про вихід нових версій ПЗ.

Як довго це триває?

Дані вказують, що злом застосовується з 2007 року і тягнеться до початку 2016 року, якщо не довше. Із застереженням на апарати, в яких все ще використовується стара прошивка, можна говорити про потенційний ризик і на середину 2017 року.

Документи не містять код, тільки опис ідеї злому, завдяки чому угруповання хакерів, які не пов’язані з ЦРУ, навряд чи зможуть відтворити CherryBlossom і тим більше модифікувати обхід блокування під сучасні прошивки і пристрої.

Як відстежити Cherry Blossom?

Діяльність CherryBlossom складно помітити навіть досвідченій людині, оскільки дані передавалися на сервера в зашифрованому вигляді і замасковані під куки браузера всередині GET-запиту картинки. Проте, публічне висвітлення хака розкрило непродуманість системи:

Судячи з інформації користувача Twitter, який висвітлює тему безпеки в інтернеті, інструментарій залишив слід на всіх контрольованих серверах — в URL-адресах використовується слово «CherryWeb». Крім того, весь трафік можна прочитати при підключенні потенційно зараженого апарату до довіреного роутера, логи якого точно вкажуть, чи ходять дані виключно в місце призначення або відправляють всю інформацію на сервери ЦРУ.

Якщо ви знайшли помилку, будь ласка, виділіть фрагмент тексту і натисніть Ctrl + Enter .