,

La CIA può controllare più di 200 tipi di router

Il software CherryBlossom permette alla CIA di poter spiare il traffico effettuato e di eseguire exploit

Wikileaks ha rilasciato qualche giorno fa un documento della Vault 7 dove viene mostrato come i vari router possono essere controllati dalla CIA per controllare il traffico, per eseguire exploit nei dispositivi nella LAN o anche per effettuare attacchi MiTM(Man in the Middle).

Lo strumento raggiunge la massima efficacia con due particolari modelli di router il Dlink DIR-130 e Linksys WRT300N perché possono essere infettati da remoto anche se protetti da una password di amministrazione molto robusta dato che è presente proprio una vulnerabilità Tomato che riesce a trovare le password fin tanto che resta attività il Plug-and-Play, certamente i router che hanno una password molto debole sono ancora più facili da infettare. Nei documenti rilasciati da Wikileaks pare che CherryBlossom può funzionare su almeno 25 modelli di router ma siccome la documentazione è abbastanza vecchia si presume che ormai siano molti di più i modelli che possono essere infettati.

Esiste un manuale di circa 175 pagine che spiega l’utilizzo del software che viene definito un Sistema Operativo su base Linux che può funzionare su svariati router.

Installato CherryBlossom il router diventa una FlyTrap che comunica con un server della CIA verso il quale trasmette informazioni come stato, interfacce di rete, indirizzi impostati ecc…

Tutte le informazione inviate dal router vengono registrate in Database, una volta che CherryTree (il server) che riesce a capire come agire invia le informazione al router su cosa fare, in pratica è come se gli assegnasse dei compiti da svolgere. Per controllare i router esiste anche un interfaccia Web chiamata CherryWeb dove gli agenti della CIA possono controllare il router infetto.

CherryTree è in grado di ascoltare e copiare il traffico di rete che transita dal router, il reindirizzamento del traffico, la creazione di una VPN per entrare nella LAN e la possibilità di potere fare il proxying di tutte le connessioni. Le comunicazioni tra CherryTree e il FlyTrap sono connessioni crittografate mascherate da cookie all’interno di un HTTP Get per un’immagine.

I documenti pubblicati di Wikileaks risalgono al 2012, CherryBlossom potrebbe essere molto più evoluto ormai e permettere la sorveglianza di massa.

Scritto da Davide Moro

Sono un ragazzo giovanissimo "tecnology addicted" pugliese precisamente di Ostuni, da quando ero piccolo già la tecnologia mi affascinava in tutti i suoi aspetti, alla fine è diventata una delle tante passioni che ho. E sopratutto mi piace condividerla con voi informandovi delle ultime notizie del settore.

Commenti