Фото: Associated Press

ЦРУ совместно со Стэнфордским научно-исследовательским институтом создала проект «Вишневый цвет» (CherryBlossom), который использовался для взлома роутеров с 2007 года, указывают документы, обнародованные WikiLeaks в рамках серии утечек Vault 7.

CherryBlossom — это модифицированная прошивка для популярных продуктов, в том числе компаний D-Link и Linksys. Ряд устройств взламывался удаленно (спасибо паролям по умолчанию и бреши в безопасности, которую использовал хак под названием Tomato), после чего устанавливалось ПО с «человеком посередине» (общий термин для атаки, в которой весь трафик пользователя дополнительно пересылается на сервера злоумышленника).

Софт умеет проверять сетевой трафик на предмет адресов электронной почты, логинов, MAC-адресов, номеров VoIP, копировать сетевой трафик жертвы, перенаправлять браузер, проксировать сетевые подключения и многое другое. Принцип работы похож на другие методы взлома роутеров, которые тоже умеют перехватывать весь сетевой трафик, но отличительной особенностью CherryBlossom выступает время появления — десять лет назад сфера обхода защиты сетевого оборудования была развита значительно слабее, чем сейчас.

Кто под угрозой?

Документы указывают, что D-Link DIR-130 и Linksys WRT300N поддавались взлому, как и 23 других устройства, уточнило издание ArsTechnica, а при небольших модификациях софт можно было установить на ещё 100 моделей как минимум.

В списке упоминаются роутеры Apple, ASUS, Cisco, Belkin и других производителей

Специалисты не раскрыли потенциальное количество устройств или жертв, которые могут попасть под атаку, но отметили, что речь идёт как о публичных точках доступа в кафе, аэропортах и барах, так и домашних сетевых устройcтвах.

D-Link DIR-130
D-Link DIR-130

Производители не ответили на запрос Wired, вышли ли обновления, которые закрывают уязвимость. Эксперты отмечают, что в большинстве случаев актуальные прошивки защищают от данной атаки ЦРУ, но напоминают, что редкий пользователь регулярно обновляет прошивку роутера из-за сложной процедуры, особенно на старых аппаратах без мобильного приложения и системы оповещений о выходе новых версий ПО.

Как долго это продолжается?

Данные указывают, что взлом применяется с 2007 года и тянется до начала 2016 года, если не дольше. С оговоркой на аппараты, в которых все ещё используется старая прошивка, можно говорить о потенциальном риске и на середину 2017 года.

Документы не содержат код, только описание идеи взлома, благодаря чему группировки хакеров, не связанных с ЦРУ, вряд ли смогут воссоздать CherryBlossom и тем более модифицировать обход блокировки под современные прошивки и устройcтва.

Как отследить Cherry Blossom?

Деятельность CherryBlossom сложно заметить даже опытному человеку, поскольку данные передавались на сервера в зашифрованном виде и замаскированы под куки браузера внутри GET-запроса картинки. Тем не менее, публичное освещение хака раскрыло непродуманность системы:

Судя по информации пользователя Twitter, который освещает тему безопасности в интернете, инструментарий оставил след на всех контролируемых серверах — в URL-адресах используется слово «CherryWeb». Кроме того, весь трафик можно считать при подключении потенциально заражённого аппарата к доверенному роутеру, логи которого точно укажут, ходят ли данные исключительно в место назначения или отправляют всю информацию на сервера ЦРУ.