Cherry Blossom: Wie die CIA WLAN-Router hackt

Die Kirschen blühen bei der CIA das ganze Jahr. Mit dem Programm Cherry Blossom kann der US-Geheimdienst WLAN-Router manipulieren und den Traffic überwachen. Produkte von AVM sind offenbar nicht betroffen.

Artikel veröffentlicht am ,
Mit einer Software lässt sich der gehackte Router komfortabel steuern.
Mit einer Software lässt sich der gehackte Router komfortabel steuern. (Bild: Wikileaks.org)

Der US-Auslandsgeheimdienst CIA verfügt offenbar über ein umfangreiches Programm zur Manipulation von WLAN-Routern und Access Points. Dies geht aus Unterlagen hervor, die die Enthüllungsplattform Wikileaks veröffentlicht hat. Die CIA hat demnach ein Netzwerk an gehackten Geräten aufgebaut, die wie ein Botnetz mit einem Command-and-Controll-Server verbunden sind. Die umfangreichen Dokumente zum Programm Cherry Blossom ("Kirschblüte") stammen aus den Jahren 2007 bis 2012 und gehören zum Fundus des Leaks Vault 7.

Stellenmarkt
  1. Mitarbeiter für Konzeption und Qualitätssicherung (m/w/d Abteilung Warenwirtschaft
    ADG Apotheken-Dienstleistungsgesellschaft mbH, Mannheim
  2. Anwendungsbetreuer ITWO SITE (m/w/d)
    Wesemann GmbH, Syke
Detailsuche

Um die Geräte für ihre Zwecke nutzen zu können, installiert die CIA eine eigene Firmware. Der gehackte WLAN-Router, im CIA-Jargon "Fliegenfalle" ("Fly trap") genannt, sendet seinen Status regelmäßig an einen Command-and-Control-Server, dem "Kirschbaum" ("Cherry Tree"). Über die gesendeten Statusdaten können die Agenten bestimmte Suchbegriffe definieren, beispielsweise E-Mail-Adressen, Chatnutzernamen, Mac-Adressen von Geräten und Voice-over-IP-Nummern.

Der manipulierte Router kann je nach Auftrag den Traffic zu den Suchbegriffen kopieren oder umleiten. Zudem kann er den Browser eines Spionageziels auf manipulierte Seiten lenken, um ebenfalls das Endgerät zu kompromittieren. Außderdem ist es möglich, den kompletten Traffic des Routers zu kopieren und das Gerät kann sämtliche E-Mail-Adressen oder Chatnamen auslesen. Auch soll es möglich sein, den Geheimdienstmitarbeitern über eine VPN-Verbindung Zugang zu den Endgeräten des WLAN-Netzes zu verschaffen.

Mindestens zehn Hersteller betroffen

Die 175-seitige Anleitung nennt eine ganze Reihe von Möglichkeiten, die CIA-Firmware aufzuspielen. Dazu ist häufig kein physischer Zugang über eine LAN-Verbindung erforderlich. Ein Zugang per WLAN kann ausreichen. Um das oft erforderliche Administrator-Passwort zu ermitteln, empfiehlt die Anleitung verschiedene Tools wie einen Exploit der Tomato-Firmware. Falls kein Upgrade per WLAN möglich ist, hat die CIA ein "Wireless Upgrade Package" entwickelt, das auch das Admin-Passwort entschlüsseln kann. Ein weiteres Tool mit dem Namen Claymore kann dazu ebenfalls eingesetzt werden. Als letzte Möglichkeit kommt ein Upgrade per LAN-Kabel in Betracht, wozu die CIA den Lieferweg eines Gerätes bevorzugt.

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
Weitere IT-Trainings

Der Anleitung zufolge verfügte der US-Geheimdienst im August 2012 über eigene Firmware zu 25 Geräten der zehn Hersteller Asus, Belkin, Buffalo, Dell, D-Link, Linksys, Motorola, Netgear, Senao und US Robotics. Allerdings sollen nur sieben Geräte für alle Funktionen getestet worden sein, darunter fünf Syslink, ein Belkin und ein D-Link. Produkte des deutschen Marktführers AVM sind nicht darunter. Allerdings könnte es durchaus sein, dass der Geheimdienst in den vergangenen Jahren weitere Hersteller in das Programm aufgenommen hat. Die genauen Einsatzgebiete von Cherry Blossom sind unklar.

Hacken schwieriger geworden

Inzwischen dürfte es für die Spione schwieriger geworden sein, die üblichen Heimrouter zu hacken. So ließen sich die voreingestellten Schlüssel mancher WLAN-Router vor Jahren noch einfach erraten. Eine weitere Hürde stellt zudem ein gutes WPA2-Passwort dar. Ob der Geheimdienst Backdoors in der Router-Firmware nutzt, geht aus den Dokumenten nicht hervor. Zudem hat sich die CIA Gedanken gemacht, wie mit Herstellerupdates umzugehen ist. Dabei sei entschieden worden, das normale Verhalten des Gerätes nicht zu beeinträchtigen. Es gebe aber Überlegungen, künftig die Update-Option in der Cherry-Blossom-Software steuern zu können. Bis dahin galt für Kirschblüte: Mit einem Firmware-Update war auch die Spionagefunktion weg.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Ohne GTA 6
Diese Spiele haben wir auf der E3 vermisst

E3 2021 Kein Dragon Age, kein neues Star-Wars-Spiel und Bioshock: Golem.de erklärt, welche Top-Spiele gefehlt haben - und warum.

Ohne GTA 6: Diese Spiele haben wir auf der E3 vermisst
Artikel
  1. Batteriezellen: Volvo baut klimaneutrale Gigafabrik mit Northvolt
    Batteriezellen
    Volvo baut klimaneutrale Gigafabrik mit Northvolt

    Die neue Batteriefabrik soll jährlich 50 GWh an Akkukapazität liefern und mit Ökostrom bestrieben werden. Volvo und Northvolt kooperieren dafür.

  2. Nextbox von Nitrokey im Test: Die eigene Cloud im Wohnzimmer
    Nextbox von Nitrokey im Test
    Die eigene Cloud im Wohnzimmer

    Mit der Nextbox hat Nitrokey eine Cloud für zu Hause entwickelt, um die man sich nicht kümmern muss. Dafür kann man sie auf der ganzen Welt erreichen.
    Ein Test von Moritz Tremmel

  3. Prime Day 2021 bei Amazon - das sind die Highlights
     
    Prime Day 2021 bei Amazon - das sind die Highlights

    Lange haben wir gewartet, jetzt ist es so weit: Der Prime Day 2021 ist gestartet und bietet millionenfache Angebote aus allen Kategorien.
    Ausgewählte Angebote des E-Commerce-Teams

kazhar 19. Jun 2017

warum so kompliziert mit backdoor? Die Router suchen doch eh online nach Updates und...

Sharra 18. Jun 2017

Du meinst so, wie man jahrelang behauptet hat, die Vermutungen über die NSA wären...

robinx999 18. Jun 2017

Wobei da natürlich die Frage ist was ist mit Leuten die es ausstellen. Wobei ich mich da...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Amazon Prime Day • SSDs (u. a. Crucial MX500 1TB 75,04€) • Gaming-Monitore • RAM von Crucial • Fire TV Stick 4K 28,99€ • Bosch Professional • Dualsense + Pulse 3D Headset 139,99€ • HyperX Cloud II 51,29€ • Apple-Produkte (u. a. iPhone 12 128GB 769€) • TV OLED & QLED [Werbung]
    •  /