‘CIA onderschept dataverkeer door routers en AP’s te manipuleren’

Nieuwe documenten waarin cyberaanvallen van de CIA worden beschreven zijn online geplaatst door WikiLeaks. Ditmaal gaat het om een project waarmee kwetsbaarheden in routers en access points worden uitgebuit. Hierdoor kan de CIA toegang krijgen tot het dataverkeer van doelwitten.

De documenten hebben betrekking op het project CherryBlossom, dat volgens WikiLeaks door de CIA in samenwerking met de non-profit organisatie Stanford Research Institute is ontwikkeld. WikiLeaks meldt dat de kwetsbaarheden onder andere kunnen worden gebruikt om een man-in-the-middle-aanval uit te voeren, waarbij het internetverkeer van gebruikers wordt onderschept. Ook wordt beschreven hoe malafide content kan worden geïnjecteerd in het dataverkeer, met als doel kwetsbaarheden in het systeem van het doelwit uit te buiten.

FlyTrap

Daarnaast wordt een aanval uiteengezet met een ‘FlyTrap’. Een FlyTrap is een netwerkapparaat dat is gemanipuleerd om netwerkverkeer te doorzoeken op specifieke content, zoals e-mailadressen, MAC-adressen en VoIP-nummers. Een FlyTrap kan worden opgezet door netwerkapparatuur van gebruikers aan te vallen en te voorzien van custom firmware. Deze firmware wordt CherryBlossom genoemd.

Een FlyTrap communiceert met een Command & Control server die onder controle staat van de CIA. Deze server wordt in de documenten CherryTree genoemd. CherryTree legt onder andere informatie over de status van apparaten en security-gerelateerde data vast in een database.

Opdrachten naar FlyTrap sturen

Op basis van deze informatie kan een beheerder specifieke taken uiteenzetten in een ‘missie’, die vervolgens door CherryTree naar de FlyTrap worden gestuurd. Zo’n missie kan bijvoorbeeld betrekking hebben op het zoeken naar een specifiek e-mailadres of MAC-adres in het dataverkeer van gebruikers zijn. Het is echter ook mogelijk het volledige internetverkeer van een slachtoffer in een logbestand op te slaan, dataverkeer naar de webbrowser van gebruikers te manipuleren of VPN-tunnels opzetten naar een VPN-server die onderdeel uitmaakt van het project CherryBlossom.