23.06.2017

Порталом WikiLeaks были опубликованы данные о схеме компрометации популярных роутеров

Центр кибербезопасности ФГУП «ЗащитаИнфоТранс» информирует: порталом WikiLeaks были опубликованы данные о схеме компрометации популярных роутеров производства Asus, Belkin, Buffalo, Dell, Dlink, Linksys, Motorola, Netgear, Senao и US Robotics в рамках проекта ЦРУ «Cherry Blossom». В опубликованных порталом WikiLeaks документах говорится о том, что данный проект разрабатывается ЦРУ с 2007 года с помощью Стенфордского Исследовательского Института. Целью проекта является скрытая установка на домашние роутеры и роутеры, используемые в бизнес-среде, модифицированного программного обеспечения на базе Linux, мониторинга интернет-трафика пользователей, возможного заражения или взлома устройств, подключающихся к этим роутерам. В отличие от попавшего в публичный доступ архива «кибероружия» АНБ так называемой «утечки Shadow Brokers», исходные коды Cherry Blossom не публикуются.

Эксперты Центра кибербезопасности ФГУП «ЗащитаИнфоТранс» сообщают: судя по доступной документации, процесс заражения и подмены установленного ПО очень похож на вредоносную программу DNSChanger, использованную задержанной в 2009 году в Эстонии группировкой хакеров. Данная вредоносная программа перенаправляла dns запросы с зараженных машин на сервера злоумышленников для компрометации чувствительных данных, перехвата трафика путем проведения атаки MITM - «Человек посредине».

Для установки модифицированного программного обеспечения используются различные техники. Например, программное обеспечение, заставляющее роутеры сделать принудительное обновление прошивки, или почтовые сообщения о необходимости обновить прошивку. Пользователю обнаружить такое модифицированное ПО достаточно сложно, так как поддельный DNS сервер, как правило, корректно обслуживает запросы. Для того, чтобы предотвратить заражение роутера, необходимо соблюдать «цифровую гигиену» и всегда проверять контрольные суммы файлов устанавливаемых прошивок и источники получения такого ПО.