Dicho framework se llama Cherry Blossom y fue presuntamente diseñado por la CIA con la ayuda de Stanford Research Institute (SRI International, un instituto de investigación estadounidense sin ánimo de lucro) como parte del proyecto Cherry Bomb.

Cherry Blossom es básicamente un implante de control remoto basado en firmware para dispositivos Wi-Fi, incluyendo routers y puntos de acceso, de los cuales se explotaban vulnerabilidades para obtener acceso no autorizado y poder reemplazar el firmware legítimo por el de Cherry Blossom.

A nivel interno, el framework malicioso empleado por la CIA consta de los siguientes componentes:

  • FlyTrap: Se trata del firmware comprometido que se ejecuta en el dispositivo vulnerable.
  • CherryTree: Servidor de mando y control al que reporta FlyTrap.
  • CherryWeb: Un panel de administración basada en tecnologías web para ejecutar CherryTree.
  • Misión: Conjunto de tareas enviadas por el servidor de mando y control al dispositivo infectado.

CherryBlossom-architecture

Según el manual de Cherry Blossom filtrado por WikiLeaks, la CIA puede enviar “misiones” a los dispositivos infectados desde el servidor de mando y control a través del panel de control web.

Los tipos de misiones que puede cumplir Cherry Blossom son variados, lo que muestra la versatilidad de este framework. Estas son las cosas que puede hacer según las órdenes recibidas desde el mando y control:

  • Fisgonear el tráfico de Internet del objetivo.
  • Hacer sniffer sobre el tráfico y ejecutar varias acciones basadas en disparadores predefinidos para recolectar datos como URL, nombres de usuario, emails, direcciones MAC, etc.
  • Redirigir el tráfico de Internet del objetivo a otros servidores y proxies.
  • Crear un túnel de VPN desde el operador hacia la red interna del objetivo.
  • Alertar a los operadores cuando el objetivo está activo.
  • Escanear la red local del objetivo.

Según la guía de instalación de Blossom Cherry, el servidor de mando y control tiene que estar localizado en las instalaciones de un patrocinador seguro, instalado en servidores virtuales sobre un Dell PowerEdge 1850, ejecutar Fedora 9 (versión antigua de la distribución comunitaria de Red Hat) y disponer de al menos 4GB de RAM.

Panel-de-control-de-Cherry-Blossom

Dispositivos Wi-Fi vulnerables ante Cherry Blossom

La lista completa de dispositivos afectados se puede consultar en WikiLeaks, sin embargo, para alertar a los usuarios sobre si su punto de acceso o router es vulnerable, en MuySeguridad mostramos la lista de marcas afectadas:

  • Belkin.
  • D-Link.
  • Linksys.
  • Aironet/Cisco.
  • Apple AirPort Express.
  • Allied Telesyn.
  • Ambit.
  • AMIT Inc.
  • Accton.
  • 3Com.
  • Asustek Co.
  • Breezecom.
  • Cameo.
  • Epigram.
  • Gemtek.
  • Global Sun.
  • Hsing Tech.
  • Orinoco.
  • PLANET Technology.
  • RPT Int.
  • Senao.
  • US Robotics.
  • Z-Com.

 

Fuentes: The Hacker News | BleepingComputer | muyseguridad