WikiLeaks เผย CherryBlossom เครื่องมือแฮ็ค Routers กว่าร้อยรุ่นของ CIA

WikiLeaks ออกมาเปิดเผยข้อมูลเครื่องมือแฮ็คที่อ้างว่าเป็นของ CIA ชุดใหม่ในซีรี่ย์ Vault 7 ชื่อว่า CherryBlossom ซึ่งเป็น Framework เอนกประสงค์ทีถูกออกแบบมาเพื่อใช้แฮ็คและเข้าควบคุม Router หลายร้อยรุ่นที่ใช้กันทั่วไปตามอาคารบ้านเรือน

CherryBlossom นับได้ว่าเป็น Malware Framework ที่มีความแยบยลที่สุดตัวหนึ่ง ส่วนที่ซับซ้อนที่สุดของ CherryBlossom คือการติดตั้งมัลแวร์ลงบน Router เป้าหมาย ซึ่งจำเป็นต้องใช้คนที่มีความเชี่ยวชาญในการเข้าถึง Router โดยตรง หรือติดตั้งจากระยะไกลผ่านช่องโหว่ของ Router ซึ่งช่วยให้แฮ็คเกอร์สามารถติดตั้งเฟิร์มแวร์ใหม่บนอุปกรณ์ได้

CherryBlossom ประกอบด้วย 4 องค์ประกอบหลักซึ่งทำหน้าที่แตกต่างกัน ได้แก่

  • FlyTrap – Beacon (เฟิร์มแวร์ที่ปรับแต่งขึ้นเป็นพิเศษโดยแฮ็คเกอร์) สำหรับใช้รันบนอุปกรณ์ที่ต้องการแฮ็ค
  • CherryTree – C&C Server ที่ FlyTrap ติดต่อด้วย
  • CherryWeb – คอนโซลสำหรับ Admin ที่รันบน CherryTree
  • Mission – คำสั่งที่ C&C Server ส่งมายังอุปกรณ์ที่ถูกแฮ็ค

สรุปให้เข้าใจง่ายๆ คือ แฮ็คเกอร์สามารถส่ง “Missions” ไปยังอุปกรณ์ที่ถูกแฮ็คจาก CherryTree C&C Server ผ่านทางคอนโซล CherryWeb ได้ ซึ่ง Missions มีได้หลายประเภท ได้แก่

  • ดักฟังทราฟฟิกอินเทอร์เน็ตของเหยื่อ
  • ดักฟังทราฟฟิกและกระทำการบางอย่างตามเงื่อนไขที่กำหนดไว้ตั้งแต่แรก
  • เปลี่ยนเส้นทางทราฟฟิกอินเทอร์เน็ตของเหยื่อไปยัง Servers/Proxies อื่น
  • สร้าง VPN Tunnel ไปยังระบบเครือข่ายภายในของเหยื่อ
  • แจ้งเตือนแฮ็คเกอร์เมื่ออุปกรณ์เริ่มทำงาน
  • สแกนระบบเครือข่ายของเหยื่อ

ในเอกสารข้อมูลของ WikiLeaks ยังระบุอีกว่า FlyTrap สามารถติดตั้งได้ทั้งบน Wi-Fi Router หรือ Access Point จำนวนมากกว่า 200 รุ่น แต่ส่วนใหญ่จะเป็นอุปกรณ์รุ่นค่อนข้างเก่า คาดว่าเป็นรุ่นประมาณปี 2006 ถึง 2012

นอกจากนี้ WikiLeaks ยังอ้างอีกว่า Standford Research Institute (SRI International) เป็นผู้พัฒนา CherryBlossom ร่วมกับ CIA แต่พบชื่อ SRI ในเอกสารเพียงแค่ 1 ฉบับเท่านั้น คือ คู่มือสำหรับเครื่องมือที่ชื่อว่า Sundew ตัวสแกนระบบเครือข่ายไร้สายบน Linux

ดูรายชื่อ Router ทั้งหมดที่เป็นเป้าหมายของ CherryBlossom ได้ที่นี่ [PDF]

ที่มา: https://www.bleepingcomputer.com/news/security/cia-created-toolkit-for-hacking-hundreds-of-routers-models/



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Linux เริ่มแก้ไขปัญหา Y2038 ปัญหาคล้ายคลึงกับ Y2K ใน Linux Kernel 4.15 เพิ่มเติม

หากใครทันกับสมัยปัญหา Y2K ที่บรรดาซอฟต์แวร์ต่างๆ นั้นถูกพัฒนาด้วยการระบุจำนวนปีจากการใช้เลขท้าย 2 หลักของค.ศ. เพื่อรองรับการระบุเวลาในช่วง 1900 – 2000 นั้น ปัญหานี้อาจเกิดขึ้นอีกครั้งในปี 2038 จากการระบุเวลาด้วย Signed …

ข้อมูลสอดแนมของกลาโหมสหรัฐหลายสิบ TB รั่วทาง AWS S3 ที่ตั้งค่าเอาไว้ไม่ดี

กรณีข้อมูลรั่วจากการตั้งค่าบริการ Cloud Storage ไว้อย่างไม่ถูกต้องนั้นยังคงมีให้เห็นเรื่อยๆ ในครั้งนี้ข้อมูลของหน่วยงาน US Central Command และ US Pacific Command ที่เป็นหน่วยงานทหารของสหรัฐในแถบตะวันออกกลาง, แอฟริกาเหนือ, เอเชียกลาง, …