TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
WikiLeaks ออกมาเปิดเผยข้อมูลเครื่องมือแฮ็คที่อ้างว่าเป็นของ CIA ชุดใหม่ในซีรี่ย์ Vault 7 ชื่อว่า CherryBlossom ซึ่งเป็น Framework เอนกประสงค์ทีถูกออกแบบมาเพื่อใช้แฮ็คและเข้าควบคุม Router หลายร้อยรุ่นที่ใช้กันทั่วไปตามอาคารบ้านเรือน
CherryBlossom นับได้ว่าเป็น Malware Framework ที่มีความแยบยลที่สุดตัวหนึ่ง ส่วนที่ซับซ้อนที่สุดของ CherryBlossom คือการติดตั้งมัลแวร์ลงบน Router เป้าหมาย ซึ่งจำเป็นต้องใช้คนที่มีความเชี่ยวชาญในการเข้าถึง Router โดยตรง หรือติดตั้งจากระยะไกลผ่านช่องโหว่ของ Router ซึ่งช่วยให้แฮ็คเกอร์สามารถติดตั้งเฟิร์มแวร์ใหม่บนอุปกรณ์ได้
CherryBlossom ประกอบด้วย 4 องค์ประกอบหลักซึ่งทำหน้าที่แตกต่างกัน ได้แก่
- FlyTrap – Beacon (เฟิร์มแวร์ที่ปรับแต่งขึ้นเป็นพิเศษโดยแฮ็คเกอร์) สำหรับใช้รันบนอุปกรณ์ที่ต้องการแฮ็ค
- CherryTree – C&C Server ที่ FlyTrap ติดต่อด้วย
- CherryWeb – คอนโซลสำหรับ Admin ที่รันบน CherryTree
- Mission – คำสั่งที่ C&C Server ส่งมายังอุปกรณ์ที่ถูกแฮ็ค
สรุปให้เข้าใจง่ายๆ คือ แฮ็คเกอร์สามารถส่ง “Missions” ไปยังอุปกรณ์ที่ถูกแฮ็คจาก CherryTree C&C Server ผ่านทางคอนโซล CherryWeb ได้ ซึ่ง Missions มีได้หลายประเภท ได้แก่
- ดักฟังทราฟฟิกอินเทอร์เน็ตของเหยื่อ
- ดักฟังทราฟฟิกและกระทำการบางอย่างตามเงื่อนไขที่กำหนดไว้ตั้งแต่แรก
- เปลี่ยนเส้นทางทราฟฟิกอินเทอร์เน็ตของเหยื่อไปยัง Servers/Proxies อื่น
- สร้าง VPN Tunnel ไปยังระบบเครือข่ายภายในของเหยื่อ
- แจ้งเตือนแฮ็คเกอร์เมื่ออุปกรณ์เริ่มทำงาน
- สแกนระบบเครือข่ายของเหยื่อ
ในเอกสารข้อมูลของ WikiLeaks ยังระบุอีกว่า FlyTrap สามารถติดตั้งได้ทั้งบน Wi-Fi Router หรือ Access Point จำนวนมากกว่า 200 รุ่น แต่ส่วนใหญ่จะเป็นอุปกรณ์รุ่นค่อนข้างเก่า คาดว่าเป็นรุ่นประมาณปี 2006 ถึง 2012
นอกจากนี้ WikiLeaks ยังอ้างอีกว่า Standford Research Institute (SRI International) เป็นผู้พัฒนา CherryBlossom ร่วมกับ CIA แต่พบชื่อ SRI ในเอกสารเพียงแค่ 1 ฉบับเท่านั้น คือ คู่มือสำหรับเครื่องมือที่ชื่อว่า Sundew ตัวสแกนระบบเครือข่ายไร้สายบน Linux
ดูรายชื่อ Router ทั้งหมดที่เป็นเป้าหมายของ CherryBlossom ได้ที่นี่ [PDF]
