Cherry Blossom: hệ thống tấn công các mạng không dây của CIA

13:31 | 24/07/2017 | HACKER / MALWARE

Mới đây, WikiLeaks đã công bố gói công cụ hacking Vault 7, trong đó có một hệ thống giúp CIA giám sát các hoạt động trên Internet của các đối tượng cần theo dõi bằng cách lợi dụng những lỗ hổng trong các thiết bị wifi.

Được đặt tên là Cherry Blossom, hệ thống này được thiết kế bởi CIA, với sự giúp đỡ của Viện nghiên cứu Stanford (SRI International) – một tổ chức nghiên cứu phi lợi nhuận, trong dự án ‘Cherry Bomb’.

Cherry Blossom là hệ thống điều khiển từ xa dựa trên phần mềm nhúng được cấy vào các thiết bị mạng không dây, bao gồm cả bộ định tuyến và điểm truy cập (access point) không dây, lợi dụng các lỗ hổng của bộ định tuyến để truy cập bất hợp pháp và thay thế phần mềm nhúng gốc bằng bản tuỳ biến. Thiết bị cấy vào gọi là Flytrap, có thể dùng để giám sát các hoạt động và truyền phần mềm độc hại. Thiết bị không dây bị lợi dụng thông qua phần mềm nhúng tuỳ biến của CherryBlossom; do một số thiết bị cho phép cập nhật phần mềm nhúng qua kết nối không dây nên sẽ không cần truy cập trực tiếp tới thiết bị mới có thể lây nhiễm.

Theo Wikileaks, CIA dùng công cụ Cherry Blossom để tấn công các thiết bị mạng không dây rồi thực hiện kiểu tấn công người đứng giữa để giám sát kết nối Internet của đối tượng cần theo dõi.

Sau khi chiếm toàn quyền kiểm soát thiết bị không dây, Cherry Blossom sẽ gửi báo cáo về máy chủ C&C của CIA (có tên gọi là CherryTree) và có thể nhận các chỉ thị phá hoại từ máy chủ này:

- Giám sát các kết nối mạng để thu thập địa chỉ thư điện tử, tên người dùng, địa chỉ MAC, số điện thoại VoIP;

- Định hướng lại để dẫn người dùng tới các website độc hại;

- Chèn nội dung độc hại vào các luồng dữ liệu để lây nhiễm mã độc và tấn công các hệ thống;

- Thiết lập các kênh VPN để truy cập tới các máy tính kết nối với mạng của Flytrap để tiếp tục lợi dụng về sau;

- Sao chép toàn bộ các dữ liệu trao đổi trên mạng của thiết bị cần theo dõi;

Theo hướng dẫn cài đặt, máy chủ CherryTree phải được đặt trong một khu vực bảo mật và cài trên các máy ảo trên nền máy chủ Dell PowerEdge 1850, chạy hệ điều hành Red Hat Fedora 9, với RAM tối thiểu là 4GB.

Cherry Blossom: hệ thống tấn công các mạng không dây của CIA

Cherry Blossom có thể lợi dụng các lỗ hổng trong các thiết bị wifi của các nhà cung cấp như: Belkin, D-Link, Linksys, Aironet/Cisco, Apple AirPort Express, Allied Telesyn, Ambit, AMIT Inc, Accton, 3Com, Asustek Co, Breezecom, Cameo, Epigram, Gemtek, Global Sun, Hsing Tech, Orinoco, PLANET Technology, RPT Int, Senao, US Robotics and Z-Com (Danh sách đầy đủ có tại địa chỉ https://wikileaks.org/vault7/document/WiFi_Devices/).

‹ › ×

Tin liên quan

Tin tặc và các cơ quan tình báo tấn công lẫn nhau

08:00 | 19/10/2017

Tại hội thảo Virus Bulletin Con ở Madrid (Tây Ban Nha), một bài trình bày có tên “Walking in your enemy's shadow” (tạm dịch là Bước vào bóng tối của đối phương) cho biết, các cơ quan tình báo và những tin tặc hàng đầu đang tích cực tấn công những tin tặc khác để đánh cắp dữ liệu, “mượn” công cụ và kỹ thuật, sử dụng lại cơ sở hạ tầng.

Chuyên gia an ninh mạng Trung Quốc tiết lộ cách CIA triển khai cách mạng màu trên khắp thế giới

10:00 | 02/06/2023

Cách mạng màu (Colour revolution) là thuật ngữ chỉ các cuộc bạo lực chính trị có tổ chức, chính biến phi vũ trang ở quốc gia có chủ quyền nhằm lật đổ nhà nước đương nhiệm, gây ra khủng hoảng chính trị, đồng thời lập ra bộ máy cầm quyền mới của lực lượng đối lập được Mỹ và phương Tây hậu thuẫn. Từ lâu, Cục Tình báo Trung ương Mỹ (CIA) đã âm mưu thực hiện "các cuộc cách mạng màu" cũng như các hoạt động gián điệp trên khắp thế giới, mặc dù thông tin chi tiết về các hoạt động này luôn không rõ ràng. Gần đây, một báo cáo mới do Trung tâm ứng phó khẩn cấp Virus máy tính quốc gia của Trung Quốc và công ty an ninh mạng Trung Quốc 360 công bố vào ngày 04/5/2023 đã tiết lộ các phương tiện kỹ thuật chính mà CIA sử dụng để lập kế hoạch và thúc đẩy tình trạng bất ổn trên toàn thế giới.

Tin cùng chuyên mục

Lỗ hổng Kubernetes cho phép thực thi mã từ xa trên điểm cuối Windows

09:00 | 01/04/2024

Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).

Cơ quan an ninh mạng Hoa Kỳ cảnh báo lỗi Microsoft Streaming bị khai thác trong các cuộc tấn công mạng

13:00 | 19/03/2024

Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).

Kho lưu trữ PyPI phân phối phần mềm độc hại WhiteSnake

08:00 | 10/02/2024

Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.