La CIA lleva años "hackeando" routers Wi-Fi domésticos con el programa CherryBlossom

Llevaban unas semanas parados pero Wikileaks acaba de publicar una nueva entrega de Vault 7, la gran colección de documentos de la CIA filtrados con la que se hicieron unas semanas. En este caso, el gran protagonista de esta nueva tanda de información clasificada es CherryBlossom, un programa diseñado por la CIA para atacar routers y puntos de acceso de uso doméstico.

En concreto, y según las filtraciones de Wikileaks, CherryBlossom puede instalarse remotamente sin tener acceso físico al equipo de red que se quiere infectar. Una vez el dispositivo ha sido comprometido, el operador que controla el programa puede desplegar filtros para extraer información que viaja sobre esa red (como por ejemplo, direcciones de correo, números voIP, etc.), puede extraer todo el tráfico o llevar a cabo un ataque man-in-the-middle, redirigiendo el tráfico a un determinado servidor.

Para la infección, los documentos mencionan varias posibilidades: utilizando otros programas o herramientas desarrollados por la CIA (requiriendo para ello usuario y contraseña del dispositivo) o, en dispositivos que permitían actualizaciones, forzar una actualización maliciosa de firmware a través de una herramienta llamada Claymore de la que no dan más información.

Una vez el dispositivo estaba infectado y pasaba al control del agente de la CIA, éste podía conectarse vía web a él y configurar la extracción de información desde una sencilla interfaz repleta de opciones similar a la que muestran en las capturas del manual:

Dlink, ASUS y Linksys, entre las marcas afectadas

El documento está fechado en 2012 y desconocemos si CherryBlossom ha evolucionado o cambiado su forma de operar desde entonces, pero por aquella época, y según la documentación filtrada, ya había conseguido acceso a "25 dispositivos distintos de 10 fabricantes", entre ellos marcas conocidas como Dlink, ASUS o Linksys.

Como objetivo a corto plazo tenían el ampliar esta lista con nuevos dispositivos en lo que llamaban "expansión de la plataforma", y elaboraron una lista de cientos de equipos de red con sus principales características (puedes verla aquí). Esto no significa que tuvieran acceso a todos, o no al menos según los documentos, ya que especifican que no era una tarea fácil: "los fabricantes están constantemente cambiando las versiones de hardware y del firmware de sus modelos actuales y ofreciendo nuevos modelos", aseguran en uno de los documentos. Por eso se centraron en modelos ampliamente extendidos.

Someone should probably scan the Internet for CherryWeb folders 😏 #Vault7 #Wikileaks #CherryBlossom pic.twitter.com/u4nXtUQK8S

— x0rz (@x0rz) 15 de junio de 2017

Si bien la documentación filtrada por Wikileaks parece bastante completa, no incluye, como es habitual, el código fuente de CherryBlossom ni más datos sobre cuántas veces se ha utilizado esta herramienta (que, a la vista de la documentación, no parece de uso "masivo" sino dirigido a objetivos concretos), aunque un investigador de seguridad publicaba una idea interesante hace unas horas: hacer una búsqueda en la red incluyendo las carpetas "CherryWeb", que es donde se aloja el interfaz web de control en cada dispositivo hackeado.

Más información | [Wikileaks](https://wikileaks.org/vault7/#Cherry Blossom)
Imagen | DeclanTM