WikiLeaks: ЦРУ отслеживает интернет-активность пользователей при помощи инструмента CherryBlossom


CherryBlossomВ рамках проекта Vault 7 WikiLeaks организация обнародовала информацию об инструменте CherryBlossom ("Вишневый цвет"), разработанном ЦРУ совместно со Стэнфордским научно-исследовательским институтом. Данная информация была взята из конфиденциальных документов Центрального разведывательного управления США.

Проект CherryBlossom направлен на отслеживание интернет-активности пользователей. В частности, данный инструмент предоставляет возможности для компрометации беспроводных сетевых устройств, таких как маршрутизаторы и точки доступа. А поскольку подобные Wi-Fi устройства повсеместно используются в домах, общественных местах (барах, гостиницах, аэропортах и т.д.), на предприятиях среднего и малого бизнеса и пр, то данные устройства являются идеальной мишенью для атак "человек посередине".

В свою очередь, это позволяет легко отследить, управлять и манипулировать интернет-трафиком пользователей. Например, путем модификации трафика инфицированное устройство может внедрить вредоносный контент в поток данных, которым обменивается пользователь и интернет-сервис, для эксплуатации уязвимостей в приложениях или в ОС на целевом компьютере.

Непосредственно компрометация беспроводного устройства осуществляется с помощью вредоносной прошивки CherryBlossom, причем для этого не требуется физический доступ. После установки прошивки устройство связывается с управляющим сервером, который в документах фигурирует под названием CherryTree ("Вишневое дерево"). Затем оно передает данные о своем статусе и другую информацию, после чего получает команды с сервера на выполнение различных действий. Например:

  • проверять сетевой трафик на предмет адресов электронной почты, логинов, MAC-адресов, номеров VoIP;
  • копировать сетевой трафик жертвы;
  • перенаправлять браузер;
  • проксировать сетевые подключения и т.д.


Напомним, в начале июня WikiLeaks были опубликованы документы о необычном вредоносном ПО Pandemic, которое предназначалось для взлома компьютеров с общими папками, из которых пользователи загружают файлы с помощью протокола SMB.

Обновлено (18.06.2017 00:19)