Después de un paréntesis de dos semanas, en al que fué la presentación de Pandemic, WikiLeaks ha publicado nuevas herramientas de la serie Vault 7, es decir, herramientas hacking utilizadas por la CIA, robadas por el grupo TheShadowBrokers. En esta ocasión se trata de CherryBlossom, un framework multiusos desarrollado para hackear y poder espiar cientos de modelos de routers domésticos.


La filtración incluye la documentación de una herramienta de la CIA llamada CherryBlossom, un framework multiusos desarrollado para hackear cientos de modelos de enrutadores domésticos.

La herramienta es, con diferencia , uno de los frameworks de malware más sofisticados de la CIA en posesión de la CIA. El propósito de CherryBlossom es permitir a los operadores interactuar y controlar los enrutadores SOHO en la red de la víctima.

CherryBlossom es instalado a través de actualizaciones de firmware corruptas

La parte más compleja de usar CherryBlossom es de lejos el despliegue de la herramienta en los routers de un objetivo. Esto puede hacerse por un operador de campo, o usar remotamente una falla de enrutador que permite a los operadores de CIA instalar nuevos firmware en el dispositivo de destino.

Internamente, CherryBlossom se compone de diferentes componentes, cada uno con un papel muy preciso:

FlyTrap - beacon (compromised firmware) that runs on compromised device
CherryTree - command and control server where FlyTrap devices report
CherryWeb - web-based admin panel running on CherryTree
Mission - a set of tasks sent by the C&C server to infected devices

Según el manual de CherryBlossom, los operadores de CIA pueden enviar "misiones" a dispositivos infectados desde el servidor CherryTree C & C a través del panel CherryWeb.

 Los tipos de misión varían enormemente, lo cual habla mucho de la versatilidad de la herramienta. Por ejemplo, las misiones pueden:

• snoop on the target's Internet traffic
• sniff traffic and execute various actions based on predefined triggers (URLs, usernames, email, MAC addresses, etc.)
• redirect target's Internet traffic through other servers/proxies
• create a VPN tunnel from operator to the target's internal network
• alert operators when the target becomes active
• scan the target's local network

CherryBlossom soporta más de 200 modelos de routers

De acuerdo con los documentos de la CIA, FlyTraps se puede instalar en routers WiFi y puntos de acceso. Hay un documento separado que enumera sobre 200 modelos de routers que CherryBlossom puede soportar, la mayor parte de que son modelos más viejos.

Este documento de 24 páginas no está fechado, pero el resto de los manuales de CherryBlossom son - entre 2006 y 2012. Encontrará una lista de todos los proveedores de equipos WiFi que se incluyeron en este documento al final de este artículo. Para obtener la lista completa de la serie de proveedores, consulte el documento original de WikiLeaks aquí.

• https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devices.pdf

El investigador de seguridad francés X0rz notó un pequeño detalle que podría ayudar a los investigadores a localizar las instalaciones de CherryBlossom. Según la guía de instalación de la herramienta, la dirección URL predeterminada para el panel de control de CherryWeb es

 https: // CherryTree-ip-address / CherryWeb /

 (por ejemplo: https://10.10.10.10/CherryWeb/). El escaneo de Internet para las carpetas web de CherryWeb revelará cuántas instalaciones de CherryBlossom están desplegadas


Lista de empresas de routers / AP de WiFi incluidos en los documentos CherryBlossom:

• 3Com
• Accton
• Aironet/Cisco
• Allied Telesyn
• Ambit
• AMIT, Inc
• Apple
• Asustek Co
• Belkin
• Breezecom
• Cameo
• D-Link
• Gemtek
• Global Sun
• Linksys
• Motorola
• Orinoco
• Planet Tec
• Senao
• US Robotics
• Z-Com

A diferencia de The Shadow Brokers, que publicaron las herramientas de hacking reales que afirman haber robado de la NSA, WikiLeaks sólo publicó la documentación de CherryBlossom, sin publicar la herramienta real.

Fuentes:
https://www.bleepingcomputer.com/news/security/cia-created-toolkit-for-hacking-hundreds-of-routers-models/