Kürzlich veröffentlichte Wikileaks neue Dokumente in seiner Vault7-Sammlung. Die umfangreiche Sammlung setzt sich aus verschiedenen Spionagewerkzeugen zusammen. Mit diesen Werkzeugen betrieb die CIA wohl schon seit 2007 das Abhörprojekt „Cherry Blossom“ (Kirschblüte). Damit konnte die CIA manipulierte Firmware auf drahtlosen Netzwerkgeräten, Router, Windows-Geräten und sogar Smart TVs von wohl mehr als zehn Herstellern aufspielen. Laut den Wikileaks Dokumenten können damit auch 25 Router gezielt manipuliert werden. Experten gehen aber davon aus, dass es insgesamt über 100 Zielgeräte sind. Die infizierten Router fungierten der CIA als individuell nutzbare Abhörstation. Gleichzeitig war es der Behörde damit auch möglich, den eingehenden und ausgehenden Datenverkehr zu manipulieren. Selbst moderne FeCherry Blossom: CIA betreibt angeblich Router-Botnetrnsehgeräte können mit den Schadprogrammen in Abhörgeräte verwandelt werden.

Insbesondere von Routern ist seit Jahren bekannt, dass sie üblicherweise firmenseitig mit schwachen Passwörtern ausgeliefert werden. Nach Inbetriebnahme werden diese Passwörter sehr oft nicht verändert oder bestenfalls viel zu schwach gewählt. Um Passwörter zu stehlen, verwendete die CIA das Werkzeug Tomato. Es konnte selbst starke Passwörter knacken und funktioniert, wenn das voreingestellte Universal Plug and Play eingeschaltet ist. CherryBlossom kam übrigens mit einem umfangreichen Anwenderhandbuch. Auf 175 Seiten wurde seine Funktionsweise detailliert beschrieben. Daraus geht hervor, dass der Trojaner die infizierten Router in sogenannte „Fliegenfallen“ verwandelt, die Signale an den CIA-Server genannt CherryTree (Kirschbaum) senden. Von dort aus erhalten die infizierten Geräte dann ihre Aufgaben. Zu den Aufgaben gehörten das Kopieren von E-Mail-Adressen, Chatverbindungen, VoIP-Nummern und des gesamten oder Teile des Datenverkehrs. Zusätzlich auch Browserumleitung, Aufbau einer virtuellen Netzwerkverbindung und die Übernahme aller Netzwerkverbindungen.

Laut den Experten sei diese Schadsoftware nicht anders als bisher schon bekannte Router-Malware. Allerdings beeindruckt die Experten der schiere Umfang der CIA-Werkzeugkiste. Damit seien weit mehr Abhörmaßnahmen ausführbar als mit den bisherigen Programmen. Die in Vault7 veröffentliche Sammlung enthält übrigens keine Angaben zum Quellcode oder zu Binärdateien. Damit ist es Hackergruppen nur sehr schwer möglich, sie als Spionagewerkzeuge zu nutzen. Das macht die seit März dieses Jahres nach und nach veröffentlichte Malware somit deutlich ungefährlicher. Unter den 11 aufgeführten Werkzeugen findet sich auch eines, das ermitteln kann, ob ein Router von der CIA gehackt wurde. Das Xorz Programm ist in der Lage, die CherryTree-Server der CIA erkennen. Alles in allem hat sich die CIA über die Jahre wohl sehr große Mühe gegeben, ihre Sammlung zusammenzustellen.

Artikel von arstechnica.com, 16.06.2017: Advanced CIA firmware has been infecting Wi-Fi routers for years
Artikel von thehackernews.com, 15.06.2017: Wikileaks Unveils ‚Cherry Blossom‘ — Wireless Hacking System Used by CIA
Artikel von wikileaks.org, 15.06.2017: Vault 7: Projects
Artikel von heise.de, 16.06.2017: Cherry Blossom: CIA betreibt angeblich Router-Botnet

Urheberrechte am Bild: shutterstock.com