Cherry Blossom: hệ thống tấn công các mạng không dây của CIA

13:31 | 24/07/2017 | HACKER / MALWARE

Mới đây, WikiLeaks đã công bố gói công cụ hacking Vault 7, trong đó có một hệ thống giúp CIA giám sát các hoạt động trên Internet của các đối tượng cần theo dõi bằng cách lợi dụng những lỗ hổng trong các thiết bị wifi.

Được đặt tên là Cherry Blossom, hệ thống này được thiết kế bởi CIA, với sự giúp đỡ của Viện nghiên cứu Stanford (SRI International) – một tổ chức nghiên cứu phi lợi nhuận, trong dự án ‘Cherry Bomb’.

Cherry Blossom là hệ thống điều khiển từ xa dựa trên phần mềm nhúng được cấy vào các thiết bị mạng không dây, bao gồm cả bộ định tuyến và điểm truy cập (access point) không dây, lợi dụng các lỗ hổng của bộ định tuyến để truy cập bất hợp pháp và thay thế phần mềm nhúng gốc bằng bản tuỳ biến. Thiết bị cấy vào gọi là Flytrap, có thể dùng để giám sát các hoạt động và truyền phần mềm độc hại. Thiết bị không dây bị lợi dụng thông qua phần mềm nhúng tuỳ biến của CherryBlossom; do một số thiết bị cho phép cập nhật phần mềm nhúng qua kết nối không dây nên sẽ không cần truy cập trực tiếp tới thiết bị mới có thể lây nhiễm.

Theo Wikileaks, CIA dùng công cụ Cherry Blossom để tấn công các thiết bị mạng không dây rồi thực hiện kiểu tấn công người đứng giữa để giám sát kết nối Internet của đối tượng cần theo dõi.

Sau khi chiếm toàn quyền kiểm soát thiết bị không dây, Cherry Blossom sẽ gửi báo cáo về máy chủ C&C của CIA (có tên gọi là CherryTree) và có thể nhận các chỉ thị phá hoại từ máy chủ này:

- Giám sát các kết nối mạng để thu thập địa chỉ thư điện tử, tên người dùng, địa chỉ MAC, số điện thoại VoIP;

- Định hướng lại để dẫn người dùng tới các website độc hại;

- Chèn nội dung độc hại vào các luồng dữ liệu để lây nhiễm mã độc và tấn công các hệ thống;

- Thiết lập các kênh VPN để truy cập tới các máy tính kết nối với mạng của Flytrap để tiếp tục lợi dụng về sau;

- Sao chép toàn bộ các dữ liệu trao đổi trên mạng của thiết bị cần theo dõi;

Theo hướng dẫn cài đặt, máy chủ CherryTree phải được đặt trong một khu vực bảo mật và cài trên các máy ảo trên nền máy chủ Dell PowerEdge 1850, chạy hệ điều hành Red Hat Fedora 9, với RAM tối thiểu là 4GB.

Cherry Blossom: hệ thống tấn công các mạng không dây của CIA

Cherry Blossom có thể lợi dụng các lỗ hổng trong các thiết bị wifi của các nhà cung cấp như: Belkin, D-Link, Linksys, Aironet/Cisco, Apple AirPort Express, Allied Telesyn, Ambit, AMIT Inc, Accton, 3Com, Asustek Co, Breezecom, Cameo, Epigram, Gemtek, Global Sun, Hsing Tech, Orinoco, PLANET Technology, RPT Int, Senao, US Robotics and Z-Com (Danh sách đầy đủ có tại địa chỉ https://wikileaks.org/vault7/document/WiFi_Devices/).

‹ › ×

Tin liên quan

Tin tặc và các cơ quan tình báo tấn công lẫn nhau

08:00 | 19/10/2017

Tại hội thảo Virus Bulletin Con ở Madrid (Tây Ban Nha), một bài trình bày có tên “Walking in your enemy's shadow” (tạm dịch là Bước vào bóng tối của đối phương) cho biết, các cơ quan tình báo và những tin tặc hàng đầu đang tích cực tấn công những tin tặc khác để đánh cắp dữ liệu, “mượn” công cụ và kỹ thuật, sử dụng lại cơ sở hạ tầng.

Chuyên gia an ninh mạng Trung Quốc tiết lộ cách CIA triển khai cách mạng màu trên khắp thế giới

10:00 | 02/06/2023

Cách mạng màu (Colour revolution) là thuật ngữ chỉ các cuộc bạo lực chính trị có tổ chức, chính biến phi vũ trang ở quốc gia có chủ quyền nhằm lật đổ nhà nước đương nhiệm, gây ra khủng hoảng chính trị, đồng thời lập ra bộ máy cầm quyền mới của lực lượng đối lập được Mỹ và phương Tây hậu thuẫn. Từ lâu, Cục Tình báo Trung ương Mỹ (CIA) đã âm mưu thực hiện "các cuộc cách mạng màu" cũng như các hoạt động gián điệp trên khắp thế giới, mặc dù thông tin chi tiết về các hoạt động này luôn không rõ ràng. Gần đây, một báo cáo mới do Trung tâm ứng phó khẩn cấp Virus máy tính quốc gia của Trung Quốc và công ty an ninh mạng Trung Quốc 360 công bố vào ngày 04/5/2023 đã tiết lộ các phương tiện kỹ thuật chính mà CIA sử dụng để lập kế hoạch và thúc đẩy tình trạng bất ổn trên toàn thế giới.

Tin cùng chuyên mục

Bắt giữ 37 nghi phạm trong đường dây dịch vụ lừa đảo trực tuyến

14:00 | 24/04/2024

Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.