CherryBlossom, e la CIA può spiare (quasi) tutti i router

CherryBlossom, e la CIA può spiare (quasi) tutti i router

E' il nuovo capitolo della saga Vault7: WikiLeaks ha rilasciato la documentazione che mostra uno strumento usato dalla CIA per compromettere, monitorare e manipolare i router a scopo di spionaggio

di Andrea Bai pubblicata il , alle 15:21 nel canale Sicurezza
 

WikiLeaks ha rilasciato nelle scorse ore nuova documentazione del filone "Vault7" dalla quale emerge come i router commercializzati da vari produttori tra cui Linksys, Asus, 3Com, Cisco Belkin e D-Link (ma che ne sono molti altri) possono essere trasformati in punti d'ascolto che permettono alla CIA di manipolare il traffico in ingresso ed uscita e infettare i dispositivi ad essi connessi, grazie ad uno strumento software conosciuto con il nome in codice di CherryBlossom.

Secondo quanto si apprende, lo strumento pare essere di particolare efficacia contro i bersagli che usano i modelli di router DIR-130 di D-Link e WRT300N di Linksys poiché possono essere compromessi da remoto anche quando protetti da una password di amministrazione robusta, a causa di un exploit conosciuto con il nome in codice di Tomato che può estrarre le password fino a quando resta attiva la funzionalità di "plug and play". I router protetti da password deboli o di default sono ovviamente ancor più inclini alla compromissione. Nella documentazione rilasciata da WikiLeaks si apprende che CherryBlossom opera su almeno 25 modelli di router, sebbene sia possibile ipotizzare la presenza di varianti capaci di funzionare anche su numerosi altri modelli. Esiste un vero e proprio manuale di 175 pagine che spiega l'uso di CherryBlossom, descrivendolo come un sistema operativo a base Linux in grado di operare su un'ampia gamma di router.

Una volta che CherryBlossom viene installato sul router bersaglio trasforma il dispositivo in una cosiddetta "FlyTrap" che instaura un canale di comunicazione con il server "CherryTree" controllato dalla CIA, verso il quale trasmette una serie di informazioni come lo stato del dispositivo e indirizzi vari, che vengono registrati su un database. Una volta che CherryTree riesce a tratteggiare le caratteristiche del bersaglio, invia al router una vera e propria missione con compiti specifici determinati proprio sulla base di quanto è stato identificato. Esiste inoltre una sorta di console operativa, chiamata "CherryWeb", che altro non è che un'interfaccia basata su web dalla quale gli agenti della CIA possono visualizzare informazioni sullo stato dei dispositivi compromessi, i dati da essi raccolti, effettuare operazioni di amministrazione e pianificare nuove missioni.

Tra le attività che CherryTree è in grado di compiere vi è l'ascolto e la copia del traffico di rete che transita per il router, il reindirizzamento di traffico, l'allestimento di una VPN che permetta l'accesso alla LAN del router o il proxying di tutte le connessioni di rete. Le comunicazioni operative tra CherryTree e la FlyTrap sono crittografate e vengono mascherate come cooke di browser all'interno di una richiesta HTTP GET per un file di immagine.

Non è chiaro con quale estensione sia stato usato CherryBlossom, ed il manuale utente generalmente fa riferimento all'uso contro bersagli specifici e non come strumento di sorveglianza di massa, anche se è bene osservare che i router compromessi con questo strumento possono diventare fulcro di pericolosi attacchi Man-In-The-Middle. I documenti pubblicati da WikiLeaks risultano aggiornati ad agosto del 2012 e stando alle informazioni disponibili non è possibile sapere se e come l'iniziativa sia stata portata avanti fino ai giorni nostri.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

10 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
gd350turbo16 Giugno 2017, 17:55 #2
I miei non ci sono...
Adesso non credo che la CIA abbia interesse ad entrare nei miei Router, ma oltre a tutte le altre feature ci aggiungiamo questa
Raven16 Giugno 2017, 18:30 #3
Sono tutti modelli decisamente obsoleti...
zappy16 Giugno 2017, 19:37 #4
Originariamente inviato da: Raven
Sono tutti modelli decisamente obsoleti...

certo il leak è di qualche anno fa.
oggi ci saranno quelli più recenti.
Sandro kensan16 Giugno 2017, 20:47 #5
Il leak è del 2012 e come dice zap sono in molti a credere che si siano aggiornati negli ultimi 5 anni.
Sandro kensan16 Giugno 2017, 20:48 #6
Comunque il mio TP-link non c'è
sbaffo16 Giugno 2017, 23:11 #7
Originariamente inviato da: Sandro kensan
Comunque il mio TP-link non c'è

non ti preoccupare, al tuo ci pensa una backdoor del governo cinese
Apocalysse16 Giugno 2017, 23:18 #8
Zyxel non compare neanche tra le marche, fa ben sperare ^^
WarDuck18 Giugno 2017, 11:04 #9
Originariamente inviato da: Apocalysse
Zyxel non compare neanche tra le marche, fa ben sperare ^^


Neanche Pirelli/Techicolor (gli AliceGate per capirci), ma non mi fiderei più di tanto... Montano kernel 2.6.21

Il problema è che i produttori sono senza dubbio da considerarsi complici, non rilasciando aggiornamenti.

Avoglia a dire "Linux è sicuro" se poi non lo aggiorni. Anche distribuzioni come OpenWRT comunque ricevono aggiornamenti saltuari a kernel e compagnia bella.

E sembra che i chip ADSL open stiano scomparendo...
fatantony21 Agosto 2017, 13:50 #10
Originariamente inviato da: Sandro kensan
https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devices.pdf


Scusate, nel link sono presenti soli modem wi-fi...
Io che ho un modem esclusivamente cablato (tra l'altro un Atlantis vecchiotto, non c'è neanche come marca nella lista) come faccio a sapere se sono esposto? C'è una lista dei modem non wifi?

Ciao e grazie!

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^