Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Ronald Eikenberg 154

Cherry Blossom: CIA betreibt angeblich Router-Botnet

Cherry Blossom, das Router-Botnet der CIA

Die CIA soll Router als Horchposten nutzen. Dazu wird anscheinend eine manipulierte Firmware auf den Geräten installiert. Dies geht aus Dokumenten hervor, die Wikileaks aus dem Vault-7-Fundus geleakt hat.

Cherry Blossom besteht aus vielen Komponenten.
Cherry Blossom besteht aus vielen Komponenten. Vergrößern
Die CIA ist offenbar seit geraumer Zeit dazu in der Lage, Router zu infizieren und als Abhörstation zu nutzen. Dies geht aus Dokumenten hervor, die aus dem Vault-7-Fundus von Wikileaks stammen. Mit dem aus zahlreichen Komponenten bestehenden Lauschprojekt Cherry Blossom kann die US-Behörde demnach eine trojanisierte Firmware auf den Routern von zehn Herstellern platzieren, die Befehle von einem Command-and-Control-Server entgegegennimmt. Die Rolle des infizierten Routers bezeichnen die Dokumente als FlyTrap (Fliegenfalle), der Server wird CherryTree (Kirschbaum) genannt. Im Cybercrime-Jargon wird eine solche Konstellation als Botnet bezeichnet.

Router hackt Rechner

Über das Web-Interface "Cherry Web" kann die CIA die von den Routern gelieferten Daten inspizieren.
Über das Web-Interface "Cherry Web" kann die CIA die von den Routern gelieferten Daten inspizieren. Vergrößern
Ein Auftrag an die FlyTrap könnte etwa lauten, den gesamten Netzwerkverkehr eines bestimmten Nutzers abzuschnorcheln oder gezielt Informationen wie Mail-Adressen, Usernamen oder VoIP-Rufnummern. Mit "Windex" könnten Ermittler zudem eine Umleitung einrichten, welche die Nutzer des Routers beim Surfen etwa auf einen angriffslustigen Server lotsen, der versucht, den Rechner durch das Ausnutzen von Sicherheitslücken zu infiltrieren. Die Kommunikation zwischen FlyTrap und CherryTree ist verschlüsselt und gut getarnt: Für Außenstehende sieht es so aus, als würde vom Anschluss des Überwachten eine Bilddatei (.ico) per HTTP-Get angefordert.

Einstieg durch Router-Lücken

Der Leak enthält konkrete Informationen dazu, auf welchem Weg man in bestimmte Router-Modelle einsteigen kann.
Der Leak enthält konkrete Informationen dazu, auf welchem Weg man in bestimmte Router-Modelle einsteigen kann. Vergrößern
Die Lausch-Firmware würde installiert, indem schwache Admin-Passwörter erraten und Sicherheitslücken ausgenutzt werden. Hier könnte die CIA aus dem Vollen schöpfen: Immer wieder werden kritische Router-Lücken bekannt, immer wieder lassen sich Hersteller viel Zeit damit, die Lücken zu schließen – sofern sie überhaupt reagieren. Das Handbuch der Nightshade-Tools zur Ausnutzung von Sicherheitslücken in Netzwerkgeräten wie Routern ist offenbar schon zehn Jahre alt. Zu dieser Zeit war die Situation mit den Router-Lücken noch viel dramatischer als heute.

In den Dokumenten zur Cherry Blossom werden Router etlicher Hersteller wie 3com, Asustek, Belkin, D-Link und Linksys aufgeführt. In der Tabelle ist angegeben, welche Remote-Management-Schnittstellen die einzelnen Modelle bieten – eine interessante Information für diejenigen, die nach Einstiegsmöglichkeiten suchen. Der hierzulande populäre Router-Hersteller AVM taucht in den Dokumenten nicht auf. Angesichts der Modellauswahl lässt sich vermuten, dass die CIA vor allem Geräte untersucht hat, die auf dem US-Markt verbreitet sind. Für einige Modelle hat die US-Behörde penibel dokumentiert, wie eine neue Firmware einspielt wird.

Router absichern

Der Umfang der geleakten Dokumente ist gewaltig, die vollständige Auswertung durch Sicherheitsexperten und Medien wird voraussichtlich noch eine gute Weile in Anspruch nehmen. Schon jetzt ist jedoch klar, dass die CIA offenbar einen beachtlichen Aufwand betrieben hat, um Router vieler Hersteller als Horchposten zu nutzen. Spätestens jetzt sollten Sie sicherstellen, dass der Router, mit dem Sie gerade diesen Artikel abgerufen haben, auf dem aktuellen Firmware-Stand ist und durch ein ausreichend sicheres Passwort geschützt ist. (rei)

154 Kommentare

Themen:

Anzeige
  1. Kommentar: Vault 7 – ein Erdbebchen

    Kommentar: Vault 7 - ein Erdbebchen

    Die von Wikileaks veröffentlichten CIA-Interna sind nicht so sensationell, wie viele glauben. Dennoch geben sie zu denken.

  2. Apple: Keine Verhandlungen mit Wikileaks über "Vault 7"

    Sonic Screwdriver

    Mit dem "Sonic Screwdriver" wollte die CIA laut neuen Vault-7-Dokumenten Macs über einen modifizierten Thunderbolt-Adapter infizieren. Die Schwachstellen seien längst geschlossen, erklärte Apple – und forderte Wikileaks dazu auf, Bugreports einzureichen.

  3. Reaktionen auf Vault 7 von Wikileaks: Fake-Hacks und sichere Verschlüsselung

    Reaktionen auf Vault 7 von Wikileaks: Fake-Hacks und sichere Verschlüsselung

    Die Wikileaks-Veröffentlichungen von CIA-Dokumenten werden politisch verwertet. Rechte und Verschwörungstheoretiker in den USA sehen den Beweis, dass die CIA den Wahlkampf beeinflusst hat. IT-Firmen versichern derweil, dass ihre Produkte sicher sind.

  4. Techniker analysieren Vault 7 von Wikileaks: "Ein Github für Malware"

    Techniker prüfen Vault 7 von Wikileaks: "Ein Github für Malware"

    Verschlüsseln, und zwar so, dass man nicht auffällt, lautet eine der Empfehlungen an die Entwickler von CIA-Malware. Erste Reaktionen von technischen Experten auf die Wikileaks-Enthüllungen "Vault 7" offenbaren den wachsenden Zynismus der Branche.

  1. WikiLeaks stellt CIA wegen umfangreicher Hackprogramme an den Pranger

    Nach der NSA ist die CIA dran, womit die politisch motivierte Kritik an den Praktiken der russischen oder chinesischen Geheimdienste ausgehebelt wird

  2. Vault 7: Ursache Outsourcing?

    Mitarbeiter eines externen Dienstleisters der CIA sollen unzufrieden darüber gewesen sein, dass ein Vertrag nicht verlängert wurde

  3. Tipps zur Intel-ME-Sicherheitslücke SA-00075

    PC mit Intel-Netzwerkchip

    Am 1. Mai hat Intel eine Sicherheitslücke in der ME-Firmware vieler Desktop-PCs, Notebooks und Server gemeldet: Was Sie jetzt tun sollten.

  1. SSD-Langzeittest beendet: Exitus bei 9,1 Petabyte

    SSD-Langzeittest beendet: Exitus bei 9,3 PByte

    Am 23. Juni 2016 starteten wir einen SSD-Langzeittest, um zu ermitteln, wie lange die schnellen Flash-Laufwerke wirklich halten. Fast auf den Tag genau ein Jahr später hat sich das letzte Laufwerk verabschiedet – nach 9,1 PByte an geschriebenen Daten.

  2. Schwimmbad als Handy-freie Zone?

    Fotoverbot im Schwimmbad

    Sollen Handys in Schwimmbäder generell verboten werden? Das fordern die sächsischen Datenschützer. Dem Verband für das Badewesen geht ein allgemeines Verbot allerdings zu weit.

  3. Untertassen aus dem Weltall: Vor 70 Jahren geht UFO-Sichtung um die Welt

    Vor 70 Jahren: Untertassen aus dem Weltall

    Am 24. Juni 1947 überflog Kenneth Arnold mit seinem Eindecker den US-Staat Washington. Vor dem Mount Rainier sah er neun flache Objekte schneller als der Schall. Sein Bericht rief die Fliegenden Untertassen ins Leben, die immer noch unterwegs sind.

  4. Obama genehmigte offenbar geheime Cyber-Attacke auf Russland

    Bericht: Obama genehmigte geheime Cyber-Attacke auf Russland

    Laut einem Bericht erhielt Barack Obama im August 2016 Hinweise, dass sich Russland mit Hacking-Angriffen in den US-Wahlkampf einmischen wollte - und ordnete wohl in den letzten Tagen seiner Amtszeit Cyber-Operationen gegen Russland an.

Anzeige