Tech

Wikileaks: tíz éven át kémkedett a CIA a routereken keresztül

Az amerikai hírszerzők fejlett programot alkalmaztak arra, hogy lehallgatókészülékké alakítsák a legnépszerűbb gyártók routereit - derült ki a Wikileaks által kiszivárogtatott, titkos dokumentumokból.

Minden hálózati tevékenységünk középpontja a routerünk, ezért ha valaki egyenesen ebbe az eszközbe férkőzik be, gyakorlatilag mindenre rálát. Az amerikai Központi Hírszerző Ügynökség (CIA) épp ezt a módszert alkalmazta, s 2007 óta kémkedhetett az otthoni és munkahelyi routereket kihasználva – derült ki a WikiLeaks által közzétett, 2012-es keltezésű, bizalmas dokumentumokból.

A tíz legnépszerűbb gyártó – mint a D-Link, LinkSys vagy a Belkin – routereit használták ki, hogy ellenőrizzék és manipulálják a bejövő és kimenő forgalmat, és hozzáférjenek a rácsatlakoztatott eszközökhöz is.

A Cherryblossom kódnevű programmal leginkább a D-Link DIR-130 és Linksys WRT300N modelleket tudták elérni, mert ezekhez még egy erős rendszergazdai jelszó esetén is hozzáférhettek. A Tomato nevű exploit ugyanis egy sérülékenység által könnyen vissza tudta fejteni a jelszavakat, ha az univerzális plug-and-play bekapcsolva maradt.

Persze ha egy könnyen kitalálható jelszót adtak meg a felhasználók, vagy ami még rosszabb: a gyári beállítást nem változtatták meg, akkor még ennél is könnyebb dolga volt a hírszerzőknek.

Az iratok szerint a CherryBlossom 25 modellen futott, de némi módosítással akár további, több mint százféle routerhez hozzáférhetett.

A 175 oldalas kézikönyv szerint a CherryBlossom egy Linux alapú operációs rendszer. Amint települ egy routerre, elküldi a készülék állapotát és biztonsági információkat a CherryTree-nek, azaz a CIA által irányított szervernek, az pedig válaszképp feladatokat küld vissza.

A hírszerzők a CherryWeben, egy böngésző alapú felhasználói felületen tudják követni az adott “légycsapda” státuszát, ki tudnak adni új műveleteket, vagy megnézhetik, hol tart az adott feladat végrehajtása.

IP-, e-mail-, és Mac-cím, chatnév és VoIP-szám (Viber és Skype szám) alapján tudják targetálni a kapcsolódott felhasználókat. Olyan feladatokat adhatnak ki, mint a forgalom teljes vagy részleges lemásolása, átirányítani a fehasználót, ha éppen egy kibertámadást kísérel meg végrehajtani, vagy egy VPN-kapcsolat létrehozása, hogy a helyi hálózatokhoz hozzáférjenek.

Egyedülálló fejlettségű

A CherryBlossom működésében nem sokban különbözik azoktól a routereket támadó módszerektől, ahogyan a titkosszolgálatok az elmúlt években fertőzték az eszközöket. A CIA megoldását az teszi egyedülállóvá, hogy komplett funkciókészletet fejlesztettek, saját felhasználói felületettel, szervertámogatással, és kiosztható műveletekkel.

A dokumentum azt nem részletezi, hogy mennyire elterjedt körben használták fel a CherryBlossomot, de a kézikönyv utal rá, hogy nem tömeges lehallgatásra, inkább csak bizonyos célpontok megfigyelésére alkalmazták.

Azt sem tudni, hogy a CIA még aktívan használja-e a CherryBlossomot, ugyanakkor érdemes fenntartással kezelni a Wikileaks által szivárogtatott, még meg nem megerősített dokumentumokat.

Már 16 ország ellen használhatták a CIA hackereszközeit
Egy kémcsoport már évek óta használja a CIA állítólagos hackereszközeit, eddig több mint 16 országban támadtak.

A WikiLeaks márciusban kezdte el nyilvánosságra hozni azokat a hackereszközöket, amelyek a CIA Kibernetikai Hírszerzési Központjából származhatnak.

A Vault 7 néven futó szivárogtatás-sorozat dokumentumai azt részletezik, hogy a hírszerzők milyen módszerekkel kémkedtek olyan fogyasztói elektronikai eszközökön keresztül, mint egy átlagos PC, egy androidos és iOS-es telefon, nyomatók, routerek, okostévék, és más készülékek.

Ajánlott videó

Olvasói sztorik