Minden hálózati tevékenységünk középpontja a routerünk, ezért ha valaki egyenesen ebbe az eszközbe férkőzik be, gyakorlatilag mindenre rálát. Az amerikai Központi Hírszerző Ügynökség (CIA) épp ezt a módszert alkalmazta, s 2007 óta kémkedhetett az otthoni és munkahelyi routereket kihasználva – derült ki a WikiLeaks által közzétett, 2012-es keltezésű, bizalmas dokumentumokból.
A tíz legnépszerűbb gyártó – mint a D-Link, LinkSys vagy a Belkin – routereit használták ki, hogy
A Cherryblossom kódnevű programmal leginkább a D-Link DIR-130 és Linksys WRT300N modelleket tudták elérni, mert ezekhez még egy erős rendszergazdai jelszó esetén is hozzáférhettek. A Tomato nevű exploit ugyanis egy sérülékenység által könnyen vissza tudta fejteni a jelszavakat, ha az univerzális plug-and-play bekapcsolva maradt.
Persze ha egy könnyen kitalálható jelszót adtak meg a felhasználók, vagy ami még rosszabb: a gyári beállítást nem változtatták meg, akkor még ennél is könnyebb dolga volt a hírszerzőknek.
Az iratok szerint a CherryBlossom 25 modellen futott, de némi módosítással akár további, több mint százféle routerhez hozzáférhetett.
A 175 oldalas kézikönyv szerint a CherryBlossom egy Linux alapú operációs rendszer. Amint települ egy routerre, elküldi a készülék állapotát és biztonsági információkat a CherryTree-nek, azaz a CIA által irányított szervernek, az pedig válaszképp feladatokat küld vissza.
A hírszerzők a CherryWeben, egy böngésző alapú felhasználói felületen tudják követni az adott “légycsapda” státuszát, ki tudnak adni új műveleteket, vagy megnézhetik, hol tart az adott feladat végrehajtása.
IP-, e-mail-, és Mac-cím, chatnév és VoIP-szám (Viber és Skype szám) alapján tudják targetálni a kapcsolódott felhasználókat. Olyan feladatokat adhatnak ki, mint a forgalom teljes vagy részleges lemásolása, átirányítani a fehasználót, ha éppen egy kibertámadást kísérel meg végrehajtani, vagy egy VPN-kapcsolat létrehozása, hogy a helyi hálózatokhoz hozzáférjenek.
Egyedülálló fejlettségű
A CherryBlossom működésében nem sokban különbözik azoktól a routereket támadó módszerektől, ahogyan a titkosszolgálatok az elmúlt években fertőzték az eszközöket. A CIA megoldását az teszi egyedülállóvá, hogy komplett funkciókészletet fejlesztettek, saját felhasználói felületettel, szervertámogatással, és kiosztható műveletekkel.
A dokumentum azt nem részletezi, hogy mennyire elterjedt körben használták fel a CherryBlossomot, de a kézikönyv utal rá, hogy
Azt sem tudni, hogy a CIA még aktívan használja-e a CherryBlossomot, ugyanakkor érdemes fenntartással kezelni a Wikileaks által szivárogtatott, még meg nem megerősített dokumentumokat.
A WikiLeaks márciusban kezdte el nyilvánosságra hozni azokat a hackereszközöket, amelyek a CIA Kibernetikai Hírszerzési Központjából származhatnak.
A Vault 7 néven futó szivárogtatás-sorozat dokumentumai azt részletezik, hogy a hírszerzők milyen módszerekkel kémkedtek olyan fogyasztói elektronikai eszközökön keresztül, mint egy átlagos PC, egy androidos és iOS-es telefon, nyomatók, routerek, okostévék, és más készülékek.
