CIA od 10 lat infekowała prywatne rutery

WikiLeaks ujawnia potężną skalę infiltracji domowych ruterów przez CIA. Amerykańska Centralna Agencja Wywiadowcza wykorzystywała zmodyfikowany firmware, by używać sprzętu sieciowego, jako narzędzi szpiegujących. Kod o nazwie CherryBlossom zarażał rutery WiFi co najmniej od 2007 roku. Piszemy, jak skontrolować swoje urządzenie.
Wintermute
16.06.2017|Przeczytasz w 2 minuty
ruter
ruter

Opracowany przez CIA kod, pozwalający na zdalne przejęcie kontroli nad ruterem WiFi, a także nad podłączonymi do domowej sieci (poprzez ów ruter) urządzeniami, jest skuteczny w przypadku ruterów co najmniej 10-ciu producentów. To m.in. Belkin, D-Link, czy Linksys. Każdy z ruterów, na którym działa kod CherryBlossom (kwiat wiśni) staje się w istocie narzędziem podsłuchu na usługach Amerykańskiej Agencji Wywiadowczej.

W najgorszej sytuacji są posiadacze ruterów D-Link DIR-130 oraz Linksys WRT300N. W przypadku tych urządzeń CherryBlossom jest najbardziej efektywny, umożliwiając skuteczną, zdalną infekcję nawet w sytuacji, gdy użytkownik urządzenia chroni dostęp do niego za pomocą silnego hasła administracyjnego. Specjalny exploit o nazwie Tomato jest w stanie wykraść hasło administratora tak długo, jak długo aktywna jest funkcja UPnP (Universal Plug and Play). Co gorsza mechanizm ten jest włączony przy standardowej konfiguracji wielu ruterów (w tym wymienionych wyżej modeli).

działanie CherryBlossom
Schemat działania CherryBlossom (fot. WikiLeaks)

Z kolei w przypadku ruterów, które są “chronione” przy pomocy słabych haseł, lub tzw. haseł domyślnych (przydzielanych fabrycznie) infekcja nie stanowi dla CherryBlossom żadnego problemu. Zgodnie z opublikowanymi przez portal WikiLeaks dokumentami, szpiegowski kod działa na co najmniej 25 modelach ruterów, ale w przyszłości, po niewielkich modyfikacjach tego oprogramowania, CherryBlossom mógłby być skuteczny nawet na 100 typach urządzeń sieciowych.

175-stronicowa dokumentacja CherryBlossom opisuje oparty na Linuxie system, który może działać na wielu ruterach. Po jego instalacji, zainfekowane urządzenie zmienia się w szpiegowskie narzędzie, zdalnie zarządzane przez serwer o kodowej nazwie CherryTree. Kontrolę nad tym serwerem sprawuje CIA. Ruter zdaje serwerowi raport o stanie bezpieczeństwa zainfekowanej sieci, natomiast serwer może wysyłać do ruterów z CherryBlossom konkretne instrukcje.

Sprawdź, czy na Twoim ruterze jest kod CherryBlossom

Zaawansowani technicznie użytkownicy oraz administratorzy sieci mogą skontrolować swoje rutery, wprowadzając urządzenie w tryb pasywny, następnie podłączając je do przełącznika sieciowego, a dalej – filtrując cały ruch, generowany przez podejrzane o niestandardową aktywność urządzenie. | CHIP

Więcej:CIAmalwarerouteryspyware
UdostępnijTwitter