Cherry Blossom: Wie die CIA WLAN-Router hackt

Die Kirschen blühen bei der CIA das ganze Jahr. Mit dem Programm Cherry Blossom kann der US-Geheimdienst WLAN-Router manipulieren und den Traffic überwachen. Produkte von AVM sind offenbar nicht betroffen.

Artikel veröffentlicht am ,
Mit einer Software lässt sich der gehackte Router komfortabel steuern.
Mit einer Software lässt sich der gehackte Router komfortabel steuern. (Bild: Wikileaks.org)

Der US-Auslandsgeheimdienst CIA verfügt offenbar über ein umfangreiches Programm zur Manipulation von WLAN-Routern und Access Points. Dies geht aus Unterlagen hervor, die die Enthüllungsplattform Wikileaks veröffentlicht hat. Die CIA hat demnach ein Netzwerk an gehackten Geräten aufgebaut, die wie ein Botnetz mit einem Command-and-Controll-Server verbunden sind. Die umfangreichen Dokumente zum Programm Cherry Blossom ("Kirschblüte") stammen aus den Jahren 2007 bis 2012 und gehören zum Fundus des Leaks Vault 7.

Stellenmarkt
  1. Account Manager / Projekt Manager (m/w/d)
    afb Application Services AG, München, Dresden
  2. Requirement Engineer (m/w/d) für OK.CASH
    Anstalt für Kommunale Datenverarbeitung in Bayern (AKDB), München, Regensburg
Detailsuche

Um die Geräte für ihre Zwecke nutzen zu können, installiert die CIA eine eigene Firmware. Der gehackte WLAN-Router, im CIA-Jargon "Fliegenfalle" ("Fly trap") genannt, sendet seinen Status regelmäßig an einen Command-and-Control-Server, dem "Kirschbaum" ("Cherry Tree"). Über die gesendeten Statusdaten können die Agenten bestimmte Suchbegriffe definieren, beispielsweise E-Mail-Adressen, Chatnutzernamen, Mac-Adressen von Geräten und Voice-over-IP-Nummern.

Der manipulierte Router kann je nach Auftrag den Traffic zu den Suchbegriffen kopieren oder umleiten. Zudem kann er den Browser eines Spionageziels auf manipulierte Seiten lenken, um ebenfalls das Endgerät zu kompromittieren. Außderdem ist es möglich, den kompletten Traffic des Routers zu kopieren und das Gerät kann sämtliche E-Mail-Adressen oder Chatnamen auslesen. Auch soll es möglich sein, den Geheimdienstmitarbeitern über eine VPN-Verbindung Zugang zu den Endgeräten des WLAN-Netzes zu verschaffen.

Mindestens zehn Hersteller betroffen

Die 175-seitige Anleitung nennt eine ganze Reihe von Möglichkeiten, die CIA-Firmware aufzuspielen. Dazu ist häufig kein physischer Zugang über eine LAN-Verbindung erforderlich. Ein Zugang per WLAN kann ausreichen. Um das oft erforderliche Administrator-Passwort zu ermitteln, empfiehlt die Anleitung verschiedene Tools wie einen Exploit der Tomato-Firmware. Falls kein Upgrade per WLAN möglich ist, hat die CIA ein "Wireless Upgrade Package" entwickelt, das auch das Admin-Passwort entschlüsseln kann. Ein weiteres Tool mit dem Namen Claymore kann dazu ebenfalls eingesetzt werden. Als letzte Möglichkeit kommt ein Upgrade per LAN-Kabel in Betracht, wozu die CIA den Lieferweg eines Gerätes bevorzugt.

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
  3. Ansible Fundamentals: Systemdeployment & -management
    20.-24. September 2021, online
Weitere IT-Trainings

Der Anleitung zufolge verfügte der US-Geheimdienst im August 2012 über eigene Firmware zu 25 Geräten der zehn Hersteller Asus, Belkin, Buffalo, Dell, D-Link, Linksys, Motorola, Netgear, Senao und US Robotics. Allerdings sollen nur sieben Geräte für alle Funktionen getestet worden sein, darunter fünf Syslink, ein Belkin und ein D-Link. Produkte des deutschen Marktführers AVM sind nicht darunter. Allerdings könnte es durchaus sein, dass der Geheimdienst in den vergangenen Jahren weitere Hersteller in das Programm aufgenommen hat. Die genauen Einsatzgebiete von Cherry Blossom sind unklar.

Hacken schwieriger geworden

Inzwischen dürfte es für die Spione schwieriger geworden sein, die üblichen Heimrouter zu hacken. So ließen sich die voreingestellten Schlüssel mancher WLAN-Router vor Jahren noch einfach erraten. Eine weitere Hürde stellt zudem ein gutes WPA2-Passwort dar. Ob der Geheimdienst Backdoors in der Router-Firmware nutzt, geht aus den Dokumenten nicht hervor. Zudem hat sich die CIA Gedanken gemacht, wie mit Herstellerupdates umzugehen ist. Dabei sei entschieden worden, das normale Verhalten des Gerätes nicht zu beeinträchtigen. Es gebe aber Überlegungen, künftig die Update-Option in der Cherry-Blossom-Software steuern zu können. Bis dahin galt für Kirschblüte: Mit einem Firmware-Update war auch die Spionagefunktion weg.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Software
Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise

Teslas Autos haben viel Elektronik an Bord, doch die Chipkrise scheint dem Unternehmen nichts anzuhaben. Elon Musk erzählt, wie das geschafft wurde.

Software: Elon Musk verrät Teslas Tricks zur Bewältigung der Chipkrise
Artikel
  1. Quartalsbericht: Apple erreicht 36 Prozent Umsatzwachstum
    Quartalsbericht
    Apple erreicht 36 Prozent Umsatzwachstum

    Apple hat viel mehr iPhones, iPads, Macs und Zubehör verkauft als im Vorjahr. Der Umsatz stieg um 36 Prozent und auch der Gewinn lässt sich sehen.

  2. Energiespeicher: Tesla nennt Preis für Megapack-Akku mit 3 MWh
    Energiespeicher
    Tesla nennt Preis für Megapack-Akku mit 3 MWh

    Das Tesla Megapack ist ein industrielles Akkusystem mit einer Kapazität von 3 Megawattstunden. Nun wurde der Online-Konfiguratur online gestellt.

  3. Surface: Microsoft patentiert ungewöhnliches Scharnier für Notebooks
    Surface
    Microsoft patentiert ungewöhnliches Scharnier für Notebooks

    Baut Microsoft ein neues Surface-Gerät? Patentgrafiken zeigen zumindest ein bisher unbekanntes Gerät mit einem ungewöhnlichen Scharnier.

kazhar 19. Jun 2017

warum so kompliziert mit backdoor? Die Router suchen doch eh online nach Updates und...

Sharra 18. Jun 2017

Du meinst so, wie man jahrelang behauptet hat, die Vermutungen über die NSA wären...

robinx999 18. Jun 2017

Wobei da natürlich die Frage ist was ist mit Leuten die es ausstellen. Wobei ich mich da...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Crucial Ballistix 16GB Kit 3200MHz 66,66€ • PCGH-Gaming-PCs stark reduziert (u. a. PC mit RTX 3060 & Ryzen 5 5600X 1.400€) • Samsung 27" Curved FHD 240Hz 239,90€ • OnePlus Nord CE 5G 128GB 299,49€ • Microsoft Flight Simulator Xbox Series X 69,99€ • 3 für 2 Spiele bei MM [Werbung]
    •  /