WikiLeaks lembali menerbitkan batch baru Vault 7 leak, kali ini merinci kerangka kerja yang digunakan oleh CIA untuk memantau aktivitas Internet dari sistem yang ditargetkan dengan memanfaatkan kerentanan pada perangkat Wi-Fi. Dijuluki "Cherry Blossom," kerangka tersebut diduga dirancang oleh Central Intelligence Agency (CIA) dengan bantuan Stanford Research Institute (SRI International), sebuah lembaga penelitian nirlaba Amerika, sebagai bagian dari proyek 'Cherry Bomb'. Cherry Blossom pada dasarnya adalah implan berbasis firmware yang dapat dikontrol dari jarak jauh untuk perangkat jaringan nirkabel, termasuk router dan wireless access points (AP) yang memanfaatkan kerentanan router untuk mendapatkan akses yang tidak sah dan kemudian mengganti firmware dengan firmware Cherry Blossom custom.
"Perangkat implan (disebut Flytrap) kemudian dapat digunakan untuk memantau aktivitas internet dan memberikan eksploitasi perangkat lunak ke sasaran yang diminati." seperti yang tertulis pada manual CIA yang bocor. "Perangkat nirkabel itu sendiri dikompromikan dengan menanamkan firmware CherryBlossom; beberapa perangkat mengizinkan upgrade firmware mereka melalui tautan nirkabel, sehingga tidak ada akses fisik ke perangkat yang diperlukan untuk infeksi," kata WikiLeaks.
Menurut Wikileaks, hacker CIA menggunakan alat hacking Cherry Blossom untuk membajak perangkat jaringan nirkabel di jaringan yang ditargetkan dan kemudian melakukan serangan man-in-the-middle untuk memantau dan memanipulasi lalu lintas Internet pengguna yang terhubung. Setelah mengambil kendali penuh pada perangkat nirkabel, kemudian akan terhubung ke CIA controlled command-and-control server yang disebut 'CherryTree,' dari tempat ia menerima instruksi dan melakukan tugas berbahaya, yang meliputi:
"Perangkat implan (disebut Flytrap) kemudian dapat digunakan untuk memantau aktivitas internet dan memberikan eksploitasi perangkat lunak ke sasaran yang diminati." seperti yang tertulis pada manual CIA yang bocor. "Perangkat nirkabel itu sendiri dikompromikan dengan menanamkan firmware CherryBlossom; beberapa perangkat mengizinkan upgrade firmware mereka melalui tautan nirkabel, sehingga tidak ada akses fisik ke perangkat yang diperlukan untuk infeksi," kata WikiLeaks.
Menurut Wikileaks, hacker CIA menggunakan alat hacking Cherry Blossom untuk membajak perangkat jaringan nirkabel di jaringan yang ditargetkan dan kemudian melakukan serangan man-in-the-middle untuk memantau dan memanipulasi lalu lintas Internet pengguna yang terhubung. Setelah mengambil kendali penuh pada perangkat nirkabel, kemudian akan terhubung ke CIA controlled command-and-control server yang disebut 'CherryTree,' dari tempat ia menerima instruksi dan melakukan tugas berbahaya, yang meliputi:
- Pemantauan lalu lintas jaringan untuk mengumpulkan alamat email, nama pengguna chat, alamat MAC, dan nomor VoIP
- Mengalihkan pengguna yang terhubung ke situs web jahat
- Menyuntikkan konten berbahaya ke arus data untuk menipu dan membahayakan sistem yang terhubung
- Menyiapkan VPN tunnels untuk mengakses klien yang terhubung ke Flytrap WLAN/LAN untuk eksploitasi
- Menyalin lalu lintas jaringan dari perangkat yang ditargetkan
Menurut sebuah panduan instalasi, server C&C CherryTree berada pada tempat yang aman dan dipasang di server virtual bertenaga Dell PowerEdge 1850, menjalankan Red Hat Fedora 9, dengan RAM minimal 4GB. Cherry Blossom dapat memanfaatkan kerentanan di ratusan perangkat Wi-Fi yang diproduksi oleh vendor berikut:
Belkin, D-Link, Linksys, Aironet/Cisco, Apple AirPort Express, Allied Telesyn, Ambit, AMIT Inc, Accton, 3Com, Asustek Co, Breezecom, Cameo, Epigram, Gemtek, Global Sun, Hsing Tech, Orinoco, PLANET Technology, RPT Int, Senao, US Robotics dan Z-Com.
Pekan lalu, WikiLeaks memperlihatkan proyek yang di dugaan milik CIA, dijuluki Pandemic, yang memungkinkan agen mengubah file Windows dam mengubah mesin Windows menjadi penyerang yang tersembunyi dan diam-diam bisa menginfeksi komputer lain pada jaringan yang ditargetkan. Pandemic dirancang untuk menginfeksi jaringan komputer Windows melalui protokol berbagi file Server Message Block (SMB) dengan mengganti kode aplikasi dengan versi perangkat lunak trojan.
0 comments:
Post a Comment