The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Сведения об инструментарии ЦРУ для захвата управления SOHO-маршрутизаторами

16.06.2017 09:55

Ресурс WikiLeaks продолжил публикацию документов, полученных из закрытой сети ЦРУ. На этот раз в открытом доступе появилась 175-страничная инструкция по использованию инструментария CherryBlossom, предназначенного для получения контроля над SOHO-маршрутизаторами и беспроводными точками доступа. В списке устройств, на которые может быть осуществлена атака присутствует более 200 моделей, включая маршрутизаторы и беспроводные точки доступа D-Link, Asustek, 3Com, Belkin, Linksys/Cisco, Motorola, Orinoco, US Robotics и других производителей.

Основу CherryBlossom составляет устанавливаемый на устройства имплант FlyTrap, оформленный в виде модифицированного варианта штатной прошивки. Внедрение производится через установку фиктивного обновления прошивки в результате эксплуатации уязвимостей, использования предопределённых паролей или путем перепрошивки на этапе поставки потребителю. В документации также упоминается наличие эксплоита, позволяющего через манипуляции с UPnP удалённо извлечь пароль доступа к административному web-интерфейсу для маршрутизаторов и точкек доступа, построенных на чипах Broadcom, включая DLink DIR-130, Linksys WRT300N и Linksys WRT54G.

Для взаимодействия с перехваченными устройствами применяется управляющий сервер CherryTree, через который осуществляется отправка команд и координация работы с устройствами. Управление производится через централизованный web-интерфейс CherryWeb. Обмен данными с управляющим сервером зашифрован и аутентифицирован. Управляющие команды закамуфлированы в виде браузерных Cookie и загрузки файлов с изображениями.

Для запуска на перехваченных устройствах с управляющего сервера передаются "миссии", определяющие сценарии для решения тех или иных задач. Например, поддерживался перехват и анализ транзитного трафика; подключение обработчиков, срабатывающих при выявлении в трафике определённых ссылок, email, имён и масок; перенаправление определённого вида трафика через внешние прокси (например, перехват VoIP); создание VPN-туннеля для проброса трафика; генерация уведомления при активности со стороны отслеживаемой системы; сканирование локальной сети; модификация трафика и проведение MiTM-атак; атаки на системы во внутренней сети и т.п.

В опубликованных списках фигурирует информация о моделях устройств вплоть до 2012 года, вероятно, именно в это время произошла утечка документов. Сведения об актуальных в настоящее время моделях отсутствуют.

  1. Главная ссылка к новости (https://arstechnica.com/securi...)
  2. OpenNews: Уязвимость в настройке NAT-PMP позволяет управлять трафиком на SOHO-маршрутизаторах
  3. OpenNews: Удалённо эксплуатируемая уязвимость в WiFi-чипах Broadcom
  4. OpenNews: Серия уязвимостей в продуктах Cisco, выявленных после публикации эксплоитов АНБ
  5. OpenNews: Исследование показало плачевное состояние защищённости SOHO-маршрутизаторов
  6. OpenNews: Раскрыты детали критической уязвимости в устройствах с поддержкой UPnP от различных производителей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/46707-router
Ключевые слова: router, cia
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (63) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:55, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    UPnP - жёсткое зло
     
     
  • 2.77, Аноним (-), 12:47, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    И что боярин предлагает взамен для некорпоративных пользователей? ICE? Да мы же застрелимся.
     
     
  • 3.78, Led (ok), 21:41, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Да мы же застрелимся.

    Тебя за язык никто не тянул.

     

  • 1.2, Аноним (-), 11:19, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    наконец, теперь мы все знаем )
     
  • 1.3, пох (?), 11:21, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    классная прошивка, надо брать!

    и cloud controlled - это в 2012-м то году.

     
  • 1.5, iPony (?), 11:42, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Моего нет, можно спать спокойно - не отpownят
     
     
  • 2.6, Anonim (??), 11:54, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Боюсь что если всерьез заинтересуются, то и отpownят, и отiPonyят и тд.
    Есть у НИХ "методы против Сапрыкина"...
     

  • 1.7, Онанимус (?), 11:55, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +24 +/
    Так вот почему они так борются с альтернативными прошивками под видом помех радарам! И тот факт, что последние Linksys-ы устанавливают недоступный альтернативным прошивкам, толи флеш, толи регион ОП (не помню подробности) - наводит на подозрения.
     
     
  • 2.30, Гость (??), 14:23, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Еще один всё понял.
     
     
  • 3.61, Аноним (-), 15:55, 17/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну так уж всё.
     
  • 2.38, X4asd (ok), 15:45, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    чего им боться?

    им достаточно только придумать хрень о том что якобы нужно на всех роутерах -- запускать ОС внутри гипервизора.

    и изобразить будто бы это охренеть какая необходимость технического плана -- без которой жизнь роутеров не возможна. типа что вообще не ясно как можно маршрутизировать пакеты если гипервизора нет, непреодалимая сложность, только гипервизор спасёт! ну и навставлять всякихтам рекламных слогонов про безопасность и trust-технологии!

    далее разрешить заливать свободную прошивку на гостевую часть гипервизора (типа свободка и вё такие! ставьте что хотите! любую свободную ОС). а все дыры размещать на стороне хостовой части гипервизора. И ВУАЛЯ!? (круто же?)

     
     
  • 3.42, Аноним (-), 17:17, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    С писюками уже примерно так и сделали:
    https://libreboot.org/faq.html#intel
    https://libreboot.org/faq.html#amd
     
     
  • 4.56, privation (?), 04:12, 17/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    называется не выбрасывайте старое железо ...
     
     
  • 5.74, Michael Shigorin (ok), 22:35, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > называется не выбрасывайте старое железо ...

    "нищебpоды", верещали они...

     

  • 1.8, Аноним (-), 11:57, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    зикселя и микротика нет или еще нет?
    А так, клевая система для оркестровки маршрутизаторов =)
     
     
  • 2.12, ААноним (?), 12:19, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А микротики знаете где делают?
     
     
  • 3.40, Аноним (-), 15:53, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Где?
     
     
  • 4.60, Аноним (-), 11:25, 17/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    В юрисдикции фбр
     
  • 3.67, feudor (ok), 06:12, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    микротик делают в латвии. А что у них с прошивками, обновления отдельно приобретаются или нет?
     
  • 2.17, Аноним (-), 12:52, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +7 +/
    У Некротиков зонд уже заложен вендором в рамках ТЗ.
     
     
  • 3.62, Анчик (?), 17:14, 17/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Было бы интересно увидеть пруфы, а также аналоги без зондов. В циске регулятро находят, о микротике нонвостей нет.
     
  • 2.58, leap42 (ok), 09:37, 17/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    за пределами России, страны чудес, у этих двоих, судя по всему, доля рынка <0.001%, вот на их счёт и не заморачивались
     
     
  • 3.64, Аноним (-), 17:01, 18/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    кинетики в принципе за пределами СНГ не продаются
     

  • 1.9, Меломан1 (?), 12:08, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >175-страничная инструкция по использованию инструментария

    Многим вендорам поучиться бы у ЦРУ делать руководства для пользователей. Еще хотелось бы взглянуть на инструкции технического характера, составленные в ФСБ.
    Что бы оценить уровень технической подготовки двух агентств.

     
     
  • 2.53, VINRARUS (ok), 23:00, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    У ФСБ проще - взламываеш дверь, заходиш и взламываеш роутер.
     
     
  • 3.54, Аноним (-), 23:27, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +14 +/
    > У ФСБ проще - взламываеш дверь, заходиш и взламываеш роутер.

    И мягкие знаки они тоже тырят!


     

  • 1.10, vantoo (ok), 12:10, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Вот где настоящие профи работают, это вам не Роскомнадзор и ФСБ со своими топорными блокировками и СОРМом.
     
     
  • 2.16, Алконим (?), 12:49, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • –10 +/
    Если бы у амеров был СОРМ, они бы такой х-й не маялись бы.
     
     
  • 3.22, Andrey Mitrofanov (?), 13:31, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Если бы у амеров был СОРМ, они бы такой х-й не маялись
    > бы.

    Д*рак, просто газет не читаешь или балаболишь за госдеп?
    https://duckduckgo.com/?q=snowden+internet+survilence
    https://duckduckgo.com/?q=snowden+nsa+datacenter

    ---Следствие 999: Х_ни мало не бывает.

     
     
  • 4.70, dq0s4y71 (ok), 12:25, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Это что за многозначительные ссылки ты дал?

    > Д*рак, просто газет не читаешь или балаболишь за госдеп?

    А ещё он, поди, телевизор не смотрит. Д*рак, чо.

     
     
  • 5.72, Andrey Mitrofanov (?), 13:24, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Это что за многозначительные ссылки ты дал?

    Кому и кобыла... А, не то. Некоторые и ссылок не читают. Кремень! Держись там.

    >> Д*рак, просто газет не читаешь или балаболишь за госдеп?

     
  • 3.27, Anonim (??), 14:07, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А как вам вот такой вот СОРМ (1960-ые между прочим):
    https://en.wikipedia.org/wiki/ECHELON
     

  • 1.11, Аноним123 (?), 12:17, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Боюсь себе представить какой крик поднялся бы со всех сторон, если бы ФСБ РФ проделало подобную шалось... ЦыЭнЭн и прочие рупоры правды в режиме 24х7 рассказывали бы о Преступлении Против Человечества и все такое прочее.
     
     
  • 2.14, Алконим (?), 12:45, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    А разве ФСБ РФ (разрешённая в РФ организация) в принципе может написать такой документ?
     
     
  • 3.31, Аноним123 (?), 14:36, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ты-то как раз меня не понял. Не пиши "от моего имени" свою свидомую ерунду.
     
  • 3.75, Michael Shigorin (ok), 22:38, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > А разве ФСБ в принципе может написать такой документ?

    И тут стало интересно, много ли обсуждающие в таком тоне в принципе видели документов, написанных существенно более толковыми людьми.  Ну, "а судьи кто".

     
  • 2.71, dq0s4y71 (ok), 12:32, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Да, такая боль, когда вашу любимую организацию ловят на очередной пакости!
     

  • 1.13, iZEN (ok), 12:26, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Все давно под колпаком. Личные дела на кончике пера следователей различных спецслужб и секретных отделов как государственных, так и частных организаций. Всем всё нужно знать. Строить профили поведения. Прогнозировать действия. Направлять интересы субъектов в нужное русло (обычно в пункт приёма наличности). А многие до сих пор удивляются одинаковой контекстной рекламе, из какого бы интернет-кафе провинциального Суходрищенска они ни зашли.
     
     
  • 2.21, gg (??), 13:10, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    а кукисы чистить не пробовал, помогает же
     
     
  • 3.23, Andrey Mitrofanov (?), 13:38, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > а кукисы чистить не пробовал, помогает же

    "- Ети надо мыть чаще."дмб

     
  • 3.48, Аноним (-), 21:20, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    для психологического комфорта, разве что.
     
  • 3.63, Аноним (-), 20:34, 17/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ага, а заодно чистить суперкуки, историю, отключить: javascript, HSTS, DOM, WebRTC, etc. Ну короче говоря, нормально будет работать только всякие статичные страницы, остальное нафиг. Ты даже не представляешь, сколько дерьма в современных браузерах тебя может отслеживать.
     
     
  • 4.69, нах (?), 10:10, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > Ага, а заодно чистить суперкуки, историю, отключить: javascript, HSTS, DOM, WebRTC,

    canvas забыл - я на днях обнаружил, что google drive без них уже и не драйвов (и нет, что вы, что вы, не надо ни в коем случае проверять наличие возможности - надо угадать по user-agent, а если не угадывается - загородить экран предложением срочно-срочно поставить единственно-правильный).
    Вдуматься - для _банального_файлового_архива_ нужны - canvas. Ну или не для банального и не для архива, что вполне вероятно, а рисование цветных кружочков - так, для отвода глаз.

    dom, по сути, те же cookies, но в более правильном месте - неправильно в нем только то, что, реализовав эту фичу, внезапно, авторы браузеров не стали заморачиваться реализацией ее контроля пользователем (а зачем ему лишние огорчения). Но он, встроенный, и с cookies-то давно бесполезный, переключатель на три положения "веб не работает вообще", "веб работает иногда и криво", "раслабься и получай удовольствие".

    hsts - для заботы о ди6илах, братьях наших меньших. Отключай на здоровье (https everywhere только поставить не забудь, а то ж ди6илы - они по обе стороны от экрана). webrtc пока, к счастью, ненужен. Зато вон те же etag - вполне заменяют cookies. И не отключаются ни в одном из разумно сделанных расширений, что отдельно огорчает. А лет этой технологии - с десяток (эталоннейшее "ненужно", если, конечно, иметь в виду декларируемое, а не истинное назначение).

     

  • 1.15, Аноним (15), 12:47, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Очень интересно что будет когда везде внедрят IPv6...
    Доступ к любому устройству через интернет мечта любой спецслужбы.
     
     
  • 2.20, gg (??), 13:09, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    да конечно, 15 лет внедряют и все никак, нафиг не упал он
     
  • 2.29, vantoo (ok), 14:14, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если отобрать у корпораций префиксы /8, то IPv6 еще долго не будет нужен.
     
     
  • 3.52, Алконим (?), 22:55, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Отобрать и _поделить_. Если просто отобрать, то проблема останется.
     
     
  • 4.68, Yuris (??), 09:17, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Шариков, залогиньтесь! )
     
  • 3.76, Michael Shigorin (ok), 22:42, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Если отобрать у корпораций префиксы /8, то IPv6 еще долго не будет нужен.

    dk@ на одной из последних конференций OSDN упоминал публично, что истерики насчёт конца IPv4 поддерживает Cisco, которой тупо надо куда-нить что-нить ещё продать.

     

  • 1.18, Аноним (-), 12:53, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    сохо это ведь домашние роутеры? так зачем их ломать, если пользователи сами несут свои данные в облака и прочие соц сети? все что этим цру остается -- писать софт для обработки данных
     
     
  • 2.24, Andrey Mitrofanov (?), 13:40, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > сохо это ведь

    https://en.wikipedia.org/wiki/Soho_(disambiguation)#Other_uses

    https://ru.wikipedia.org/wiki/SOHO_%28%D0%B1%D0%B8�

    > домашние роутеры? так зачем их ломать, если пользователи сами

     
     
  • 3.34, пох (?), 14:38, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > https://ru.wikipedia.org/wiki/SOHO_%28%D0%B1%D0%B8�

    не переживай так, бизнесы тоже "сами несут", туда же.

     
  • 2.25, Andrey Mitrofanov (?), 13:42, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > сохо это ведь

    https://en.wikipedia.org/wiki/Soho_%28disambiguation%29#Other_uses
    https://ru.wikipedia.org/wiki/SOHO_%28%D0%B1%D0%B8�
    //каквсёсложно
    > домашние роутеры? так зачем их ломать, если пользователи сами

     
  • 2.33, пох (?), 14:37, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > сохо это ведь домашние роутеры? так зачем их ломать, если пользователи сами несут свои
    > данные в облака и прочие соц сети?

    ну это ж 2012й, а писали еще раньше - сейчас, возможно, уже ничего и не ломают, тем более что денег при непуганных демократах резко убавили.

    > все что этим цру остается -- писать софт для обработки данных

    аллах с вами, зачем? Все что им нужно - это выдать гуглю очередной транш кредита под 0%, те уже все как надо написали, остается только предоставить удобный интерфейс. Или хотя бы рекламные баннеры из него убрать.


     
     
  • 3.37, Mt (?), 15:36, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Фига! Баннеры убрать, вот уж хрен, пусть "компетентные сотруднички" еще и рекламу смотрят - может и купят что - должна же от них быть хоть какая-то польза.
     
  • 3.50, Аноним (-), 21:30, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Или хотя бы рекламные баннеры из него убрать.

    Рекламные скрипты и баннеры не такая простая вещь, как думают некоторые. В нужный момент их можно централизованно подменить на "прокачанную" версию с дополнительными функциями, и тогда весь интернет (учитывая распространенность этого гуглодерьма везде и всюду) превращается в огромную бот-машину. В Китае вовсю балуются этим (в местном масштабе).
    Специалисты должны это знать. :)

     

  • 1.39, Аноним (-), 15:47, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    не путайте анб с цру. ЦРУ - это промышленный и не только шпионаж. АНБ - это слежка.
     
     
  • 2.51, Аноним (-), 21:40, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не, ЦРУ - крышевание торговли наркотой, оружием, заказные мокрухи и т.п.
    АНБ - торговля промышленными ноу-хау, политкомпромат и др. инфа, которая стоит дорого.
    Монетизация служебного положения, ну где ее нет...
     

  • 1.43, svsd_val (ok), 17:57, 16/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А потом говорят откуда у Меня паранойя. Уже давно все прошивки на маршрутизаторах заменил на свободные. (после того как сам зашёл без аутентификации на свой маршрутизатор что есть полный бред Оо)
     
     
  • 2.45, Аноним (-), 18:56, 16/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не останавливайся на достигнутом..
    пиши свои
     
     
  • 3.59, leap42 (ok), 09:40, 17/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    железяки и компиляторы
     
     
  • 4.66, svsd_val (ok), 05:59, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > железяки и компиляторы

    Если они направляются в мало-мальски сети где есть что охранять, так и делают, к примеру тот-же гугл...

    Или вы это не знали ? О.о

     
  • 3.65, svsd_val (ok), 05:52, 19/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    А по вашему получается пусть остаётся как есть ? Аля "Лучше сидеть на бочке с порохом рядом с которым бушует пожар, чем что-то пытаться предпринять...." Браво - это действительно лучшее решение.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру