forum.opennet.ru

Составление сообщения

Исходное сообщение

"Сведения об инструментарии ЦРУ для захвата управления SOHO-м..."
Отправлено opennews, 16-Июн-17 10:55

Ресурс WikiLeaks продолжил (https://wikileaks.org/vault7/releases/#Cherry%20Blossom) публикацию документов, полученных из закрытой сети ЦРУ. На этот раз в открытом доступе появилась 175-страничная инструкция (https://wikileaks.org/vault7/document/SRI-SLO-FF-2012-177-Ch...) по использованию инструментария CherryBlossom, предназначенного для получения контроля над SOHO-маршрутизаторами и беспроводными точками доступа. В списке (https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devi...) устройств, на которые может быть осуществлена атака присутствует более 200 моделей, включая маршрутизаторы и беспроводные точки доступа D-Link,
Asustek, 3Com, Belkin, Linksys/Cisco, Motorola, Orinoco, US Robotics и других производителей.
Основу CherryBlossom составляет устанавливаемый на устройства имплант FlyTrap, оформленный в виде модифицированного варианта штатной прошивки. Внедрение производится через установку фиктивного обновления прошивки в результате эксплуатации  уязвимостей, использования предопределённых паролей или путем перепрошивки на этапе поставки потребителю. В документации (https://wikileaks.org/vault7/document/NightshadeUsersManual/) также упоминается наличие эксплоита, позволяющего через манипуляции с UPnP удалённо извлечь пароль доступа к административному web-интерфейсу для маршрутизаторов и точкек доступа, построенных на чипах Broadcom (https://www.opennet.ru/opennews/art.shtml?num=46316), включая DLink DIR-130, Linksys WRT300N и Linksys WRT54G.
Для взаимодействия с перехваченными устройствами применяется управляющий сервер CherryTree, через который осуществляется отправка команд и координация работы с устройствами. Управление производится через централизованный web-интерфейс CherryWeb.  Обмен данными с управляющим сервером зашифрован и аутентифицирован. Управляющие команды закамуфлированы в виде браузерных Cookie и загрузки файлов с изображениями.

Для запуска на перехваченных устройствах с управляющего сервера передаются "миссии", определяющие сценарии для решения тех или иных задач. Например, поддерживался перехват и анализ транзитного трафика; подключение обработчиков, срабатывающих при выявлении в трафике определённых ссылок, email, имён и масок; перенаправление определённого вида трафика через внешние  прокси (например, перехват VoIP); создание VPN-туннеля для проброса трафика; генерация уведомления при активности со стороны отслеживаемой системы; сканирование локальной сети; модификация трафика и проведение MiTM-атак; атаки на системы во внутренней сети и т.п.
В опубликованных списках фигурирует информация о моделях устройств вплоть до 2012 года, вероятно, именно в это время произошла утечка документов. Сведения об актуальных в настоящее время моделях отсутствуют.

URL: https://arstechnica.com/security/2017/06/advanced-cia-firmwa.../
Новость: http://www.opennet.ru/opennews/art.shtml?num=46707

Исходное сообщение
"Сведения об инструментарии ЦРУ для захвата управления SOHO-м..." Отправлено opennews, 16-Июн-17 10:55
Ресурс WikiLeaks продолжил (https://wikileaks.org/vault7/releases/#Cherry%20Blossom) публикацию документов, полученных из закрытой сети ЦРУ. На этот раз в открытом доступе появилась 175-страничная инструкция (https://wikileaks.org/vault7/document/SRI-SLO-FF-2012-177-Ch...) по использованию инструментария CherryBlossom, предназначенного для получения контроля над SOHO-маршрутизаторами и беспроводными точками доступа. В списке (https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devi...) устройств, на которые может быть осуществлена атака присутствует более 200 моделей, включая маршрутизаторы и беспроводные точки доступа D-Link, Asustek, 3Com, Belkin, Linksys/Cisco, Motorola, Orinoco, US Robotics и других производителей. Основу CherryBlossom составляет устанавливаемый на устройства имплант FlyTrap, оформленный в виде модифицированного варианта штатной прошивки. Внедрение производится через установку фиктивного обновления прошивки в результате эксплуатации уязвимостей, использования предопределённых паролей или путем перепрошивки на этапе поставки потребителю. В документации (https://wikileaks.org/vault7/document/NightshadeUsersManual/) также упоминается наличие эксплоита, позволяющего через манипуляции с UPnP удалённо извлечь пароль доступа к административному web-интерфейсу для маршрутизаторов и точкек доступа, построенных на чипах Broadcom (https://www.opennet.ru/opennews/art.shtml?num=46316), включая DLink DIR-130, Linksys WRT300N и Linksys WRT54G. Для взаимодействия с перехваченными устройствами применяется управляющий сервер CherryTree, через который осуществляется отправка команд и координация работы с устройствами. Управление производится через централизованный web-интерфейс CherryWeb. Обмен данными с управляющим сервером зашифрован и аутентифицирован. Управляющие команды закамуфлированы в виде браузерных Cookie и загрузки файлов с изображениями. Для запуска на перехваченных устройствах с управляющего сервера передаются "миссии", определяющие сценарии для решения тех или иных задач. Например, поддерживался перехват и анализ транзитного трафика; подключение обработчиков, срабатывающих при выявлении в трафике определённых ссылок, email, имён и масок; перенаправление определённого вида трафика через внешние прокси (например, перехват VoIP); создание VPN-туннеля для проброса трафика; генерация уведомления при активности со стороны отслеживаемой системы; сканирование локальной сети; модификация трафика и проведение MiTM-атак; атаки на системы во внутренней сети и т.п. В опубликованных списках фигурирует информация о моделях устройств вплоть до 2012 года, вероятно, именно в это время произошла утечка документов. Сведения об актуальных в настоящее время моделях отсутствуют. URL: https://arstechnica.com/security/2017/06/advanced-cia-firmwa.../ Новость: http://www.opennet.ru/opennews/art.shtml?num=46707

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Ресурс WikiLeaks продолжил (https://wikileaks.org/vault7/releases/#Cherry%20Blossom) 
> публикацию документов, полученных из закрытой сети ЦРУ. На этот раз в 
> открытом доступе появилась 175-страничная инструкция (https://wikileaks.org/vault7/document/SRI-SLO-FF-2012-177-CherryBlossom_UsersManual_CDRL-12_SLO-FF-2012-171/SRI-SLO-FF-2012-177-CherryBlossom_UsersManual_CDRL-12_SLO-FF-2012-171.pdf) 
> по использованию инструментария CherryBlossom, предназначенного для получения контроля 
> над SOHO-маршрутизаторами и беспроводными точками доступа. В списке (https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devices.pdf) 
> устройств, на которые может быть осуществлена атака присутствует более 200 моделей, 
> включая маршрутизаторы и беспроводные точки доступа D-Link, 
> Asustek, 3Com, Belkin, Linksys/Cisco, Motorola, Orinoco, US Robotics и других производителей.

> Основу CherryBlossom составляет устанавливаемый на устройства имплант FlyTrap, оформленный 
> в виде модифицированного варианта штатной прошивки. Внедрение производится через установку 
> фиктивного обновления прошивки в результате эксплуатации  уязвимостей, использования 
> предопределённых паролей или путем перепрошивки на этапе поставки потребителю. В документации 
> (https://wikileaks.org/vault7/document/NightshadeUsersManual/) также упоминается 
> наличие эксплоита, позволяющего через манипуляции с UPnP удалённо извлечь пароль доступа 
> к административному web-интерфейсу для маршрутизаторов и точкек доступа, построенных 
> на чипах Broadcom (https://www.opennet.ru/opennews/art.shtml?num=46316), включая 
> DLink DIR-130, Linksys WRT300N и Linksys WRT54G.

> Для взаимодействия с перехваченными устройствами применяется управляющий сервер CherryTree, 
> через который осуществляется отправка команд и координация работы с устройствами. Управление 
> производится через централизованный web-интерфейс CherryWeb.  Обмен данными с управляющим 
> сервером зашифрован и аутентифицирован. Управляющие команды закамуфлированы в виде браузерных 
> Cookie и загрузки файлов с изображениями.

> Для запуска на перехваченных устройствах с управляющего сервера передаются "миссии", определяющие 
> сценарии для решения тех или иных задач. Например, поддерживался перехват и 
> анализ транзитного трафика; подключение обработчиков, срабатывающих при выявлении в трафике 
> определённых ссылок, email, имён и масок; перенаправление определённого вида трафика через 
> внешние  прокси (например, перехват VoIP); создание VPN-туннеля для проброса трафика; 
> генерация уведомления при активности со стороны отслеживаемой системы; сканирование локальной 
> сети; модификация трафика и проведение MiTM-атак; атаки на системы во внутренней 
> сети и т.п.

> В опубликованных списках фигурирует информация о моделях устройств вплоть до 2012 года, 
> вероятно, именно в это время произошла утечка документов. Сведения об актуальных 
> в настоящее время моделях отсутствуют.

> URL: https://arstechnica.com/security/2017/06/advanced-cia-firmware-turns-home-routers-into-covert-listening-posts/ 
 
> Новость: http://www.opennet.ru/opennews/art.shtml?num=46707

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру