Cherry Blossom: hệ thống tấn công các mạng không dây của CIA

13:31 | 24/07/2017 | HACKER / MALWARE

Mới đây, WikiLeaks đã công bố gói công cụ hacking Vault 7, trong đó có một hệ thống giúp CIA giám sát các hoạt động trên Internet của các đối tượng cần theo dõi bằng cách lợi dụng những lỗ hổng trong các thiết bị wifi.

Được đặt tên là Cherry Blossom, hệ thống này được thiết kế bởi CIA, với sự giúp đỡ của Viện nghiên cứu Stanford (SRI International) – một tổ chức nghiên cứu phi lợi nhuận, trong dự án ‘Cherry Bomb’.

Cherry Blossom là hệ thống điều khiển từ xa dựa trên phần mềm nhúng được cấy vào các thiết bị mạng không dây, bao gồm cả bộ định tuyến và điểm truy cập (access point) không dây, lợi dụng các lỗ hổng của bộ định tuyến để truy cập bất hợp pháp và thay thế phần mềm nhúng gốc bằng bản tuỳ biến. Thiết bị cấy vào gọi là Flytrap, có thể dùng để giám sát các hoạt động và truyền phần mềm độc hại. Thiết bị không dây bị lợi dụng thông qua phần mềm nhúng tuỳ biến của CherryBlossom; do một số thiết bị cho phép cập nhật phần mềm nhúng qua kết nối không dây nên sẽ không cần truy cập trực tiếp tới thiết bị mới có thể lây nhiễm.

Theo Wikileaks, CIA dùng công cụ Cherry Blossom để tấn công các thiết bị mạng không dây rồi thực hiện kiểu tấn công người đứng giữa để giám sát kết nối Internet của đối tượng cần theo dõi.

Sau khi chiếm toàn quyền kiểm soát thiết bị không dây, Cherry Blossom sẽ gửi báo cáo về máy chủ C&C của CIA (có tên gọi là CherryTree) và có thể nhận các chỉ thị phá hoại từ máy chủ này:

- Giám sát các kết nối mạng để thu thập địa chỉ thư điện tử, tên người dùng, địa chỉ MAC, số điện thoại VoIP;

- Định hướng lại để dẫn người dùng tới các website độc hại;

- Chèn nội dung độc hại vào các luồng dữ liệu để lây nhiễm mã độc và tấn công các hệ thống;

- Thiết lập các kênh VPN để truy cập tới các máy tính kết nối với mạng của Flytrap để tiếp tục lợi dụng về sau;

- Sao chép toàn bộ các dữ liệu trao đổi trên mạng của thiết bị cần theo dõi;

Theo hướng dẫn cài đặt, máy chủ CherryTree phải được đặt trong một khu vực bảo mật và cài trên các máy ảo trên nền máy chủ Dell PowerEdge 1850, chạy hệ điều hành Red Hat Fedora 9, với RAM tối thiểu là 4GB.

Cherry Blossom: hệ thống tấn công các mạng không dây của CIA

Cherry Blossom có thể lợi dụng các lỗ hổng trong các thiết bị wifi của các nhà cung cấp như: Belkin, D-Link, Linksys, Aironet/Cisco, Apple AirPort Express, Allied Telesyn, Ambit, AMIT Inc, Accton, 3Com, Asustek Co, Breezecom, Cameo, Epigram, Gemtek, Global Sun, Hsing Tech, Orinoco, PLANET Technology, RPT Int, Senao, US Robotics and Z-Com (Danh sách đầy đủ có tại địa chỉ https://wikileaks.org/vault7/document/WiFi_Devices/).

‹ › ×

Tin liên quan

Tin tặc và các cơ quan tình báo tấn công lẫn nhau

08:00 | 19/10/2017

Tại hội thảo Virus Bulletin Con ở Madrid (Tây Ban Nha), một bài trình bày có tên “Walking in your enemy's shadow” (tạm dịch là Bước vào bóng tối của đối phương) cho biết, các cơ quan tình báo và những tin tặc hàng đầu đang tích cực tấn công những tin tặc khác để đánh cắp dữ liệu, “mượn” công cụ và kỹ thuật, sử dụng lại cơ sở hạ tầng.

Chuyên gia an ninh mạng Trung Quốc tiết lộ cách CIA triển khai cách mạng màu trên khắp thế giới

10:00 | 02/06/2023

Cách mạng màu (Colour revolution) là thuật ngữ chỉ các cuộc bạo lực chính trị có tổ chức, chính biến phi vũ trang ở quốc gia có chủ quyền nhằm lật đổ nhà nước đương nhiệm, gây ra khủng hoảng chính trị, đồng thời lập ra bộ máy cầm quyền mới của lực lượng đối lập được Mỹ và phương Tây hậu thuẫn. Từ lâu, Cục Tình báo Trung ương Mỹ (CIA) đã âm mưu thực hiện "các cuộc cách mạng màu" cũng như các hoạt động gián điệp trên khắp thế giới, mặc dù thông tin chi tiết về các hoạt động này luôn không rõ ràng. Gần đây, một báo cáo mới do Trung tâm ứng phó khẩn cấp Virus máy tính quốc gia của Trung Quốc và công ty an ninh mạng Trung Quốc 360 công bố vào ngày 04/5/2023 đã tiết lộ các phương tiện kỹ thuật chính mà CIA sử dụng để lập kế hoạch và thúc đẩy tình trạng bất ổn trên toàn thế giới.

Tin cùng chuyên mục

Bóc tách chiến dịch quảng cáo độc hại MadMxShell

11:00 | 16/05/2024

Kể từ tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler đã phát hiện một nhóm tin tặc sử dụng các tên miền giả để mạo danh các trang web quét IP hợp pháp nhằm phát tán backdoor có tên là MadMxShell. Những kẻ tấn công đăng ký nhiều tên miền trông giống nhau bằng cách sử dụng kỹ thuật Typosquatting và tận dụng quảng cáo Google Ads để đẩy các tên miền này lên đầu kết quả tìm kiếm, từ đó thu hút nạn nhân truy cập các trang web độc hại. Bài viết sẽ tiến hành phân tích kỹ thuật và cơ sở hạ tầng của các tác nhân đe dọa trong chiến dịch này dựa trên báo cáo của Zscaler.

Cảnh báo hai lỗ hổng zero-day trên các thiết bị của Cisco nhằm phát tán phần mềm độc hại

08:00 | 04/05/2024

Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Khám phá phiên bản cập nhật của phần mềm đánh cắp thông tin Atomic Stealer nhắm mục tiêu vào macOS

08:00 | 19/01/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.