WikiLeaks เผย CherryBlossom เครื่องมือแฮ็ค Routers กว่าร้อยรุ่นของ CIA

WikiLeaks ออกมาเปิดเผยข้อมูลเครื่องมือแฮ็คที่อ้างว่าเป็นของ CIA ชุดใหม่ในซีรี่ย์ Vault 7 ชื่อว่า CherryBlossom ซึ่งเป็น Framework เอนกประสงค์ทีถูกออกแบบมาเพื่อใช้แฮ็คและเข้าควบคุม Router หลายร้อยรุ่นที่ใช้กันทั่วไปตามอาคารบ้านเรือน

CherryBlossom นับได้ว่าเป็น Malware Framework ที่มีความแยบยลที่สุดตัวหนึ่ง ส่วนที่ซับซ้อนที่สุดของ CherryBlossom คือการติดตั้งมัลแวร์ลงบน Router เป้าหมาย ซึ่งจำเป็นต้องใช้คนที่มีความเชี่ยวชาญในการเข้าถึง Router โดยตรง หรือติดตั้งจากระยะไกลผ่านช่องโหว่ของ Router ซึ่งช่วยให้แฮ็คเกอร์สามารถติดตั้งเฟิร์มแวร์ใหม่บนอุปกรณ์ได้

CherryBlossom ประกอบด้วย 4 องค์ประกอบหลักซึ่งทำหน้าที่แตกต่างกัน ได้แก่

  • FlyTrap – Beacon (เฟิร์มแวร์ที่ปรับแต่งขึ้นเป็นพิเศษโดยแฮ็คเกอร์) สำหรับใช้รันบนอุปกรณ์ที่ต้องการแฮ็ค
  • CherryTree – C&C Server ที่ FlyTrap ติดต่อด้วย
  • CherryWeb – คอนโซลสำหรับ Admin ที่รันบน CherryTree
  • Mission – คำสั่งที่ C&C Server ส่งมายังอุปกรณ์ที่ถูกแฮ็ค

สรุปให้เข้าใจง่ายๆ คือ แฮ็คเกอร์สามารถส่ง “Missions” ไปยังอุปกรณ์ที่ถูกแฮ็คจาก CherryTree C&C Server ผ่านทางคอนโซล CherryWeb ได้ ซึ่ง Missions มีได้หลายประเภท ได้แก่

  • ดักฟังทราฟฟิกอินเทอร์เน็ตของเหยื่อ
  • ดักฟังทราฟฟิกและกระทำการบางอย่างตามเงื่อนไขที่กำหนดไว้ตั้งแต่แรก
  • เปลี่ยนเส้นทางทราฟฟิกอินเทอร์เน็ตของเหยื่อไปยัง Servers/Proxies อื่น
  • สร้าง VPN Tunnel ไปยังระบบเครือข่ายภายในของเหยื่อ
  • แจ้งเตือนแฮ็คเกอร์เมื่ออุปกรณ์เริ่มทำงาน
  • สแกนระบบเครือข่ายของเหยื่อ

ในเอกสารข้อมูลของ WikiLeaks ยังระบุอีกว่า FlyTrap สามารถติดตั้งได้ทั้งบน Wi-Fi Router หรือ Access Point จำนวนมากกว่า 200 รุ่น แต่ส่วนใหญ่จะเป็นอุปกรณ์รุ่นค่อนข้างเก่า คาดว่าเป็นรุ่นประมาณปี 2006 ถึง 2012

นอกจากนี้ WikiLeaks ยังอ้างอีกว่า Standford Research Institute (SRI International) เป็นผู้พัฒนา CherryBlossom ร่วมกับ CIA แต่พบชื่อ SRI ในเอกสารเพียงแค่ 1 ฉบับเท่านั้น คือ คู่มือสำหรับเครื่องมือที่ชื่อว่า Sundew ตัวสแกนระบบเครือข่ายไร้สายบน Linux

ดูรายชื่อ Router ทั้งหมดที่เป็นเป้าหมายของ CherryBlossom ได้ที่นี่ [PDF]

ที่มา: https://www.bleepingcomputer.com/news/security/cia-created-toolkit-for-hacking-hundreds-of-routers-models/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ร่วมเสวนาด้าน Cybersecurity สำหรับหน่วยงาน CII ทั้ง 8 กลุ่ม ในงาน NCSA Thailand National Cyber Week 2023 วันที่ 17 – 18 กุมภาพันธ์ ณ สามย่านมิตรทาวน์

สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) ขอเชิญเหล่าผู้บริหารและผู้ปฏิบัติงานด้าน Cybersecurity ของหน่วยงาน/องค์กรโครงสร้างพื้นฐานสำคัญทางสารสนเทศ (CII) ทั้ง 8 กลุ่ม รวมถึงนักเรียนนักศึกษาและประชาชนที่สนใจ เข้าร่วมการเสวนาด้าน Cybersecurity สำหรับหน่วยงาน/องค์กรด้าน CII ในงาน …

พบแฮ็กเกอร์ใช้ Add-in บน Microsoft Visual Studio เป็นช่องทางในการโจมตี

พบแฮ็กเกอร์ใช้ Add-in บน Microsoft Visual Studio เป็นช่องทางในการโจมตี