© Linksys

Analyse

CIA-Software als Fliegenfalle für Router-Daten

Die CIA pflanzt seit 2007 ein Spionagewerkzeug namens "CherryBlossom" in Router ein, das den ganzen Datenverkehr überwacht, aber auch andere Funktionen hat.

Dieser Artikel ist älter als ein Jahr!

Im Rahmen seiner "Vault7"-Veröffentlichungsserie hat das Whistleblower-Portal Wikileaks Details zu einem Spionagewerkzeug der CIA verraten, mit dem Router infiziert werden können. "CherryBlossom", so sein Name, kann in bestimmte Router von zehn Herstellern, darunter Linksys, DLink und Belkin, eingepflanzt werden. Insgesamt sollen 25 Modelle davon betroffen sein, mit Hilfe leichter Modifikationen allerdings über 100, berichtet Ars Technica.

175 Seiten Anleitung

Die von Wikileaks veröffentlichten Dokumente zeigen, dass CherryBlossom bereits seit 2007 im Einsatz steht. Für das Spionagewerkzeug gibt es eine 175-seitige Bedienungsanleitung, an welche die Whistleblower gelangt sind. Um CherryBlossom aus der Ferne zu installieren, muss die CIA zunächst an die Administrator-Passwörter eines Routers gelangen. Bei einigen Router-Modellen gibt es bekannte Sicherheitslücken, die diese Aufgabe erleichtern.

Fliegenfalle für Daten

Ist CherryBlossom einmal installiert, macht es den Router zu einer Art "Fliegenfalle für Daten". Die CIA kann mit ihrer Software über eine browserbasierte Nutzeroberfläche namens "CherryWeb" kommunizieren und ihr Aufträge erteilen. CherryBlossom kann etwa jeglichen Datenverkehr, der über den Router läuft, aber auch nur gewisse Teile davon, kopieren. Der Datenverkehr kann auch auf eigene Proxy-Server umgeleitet werden. Außerdem können E-Mail-Adressen, Chat-Nutzernamen oder Voice-over-IP-Telefonnummern kopiert werden.

Verschlüsselte Übermittlung

Die gesammelten Daten werden sodann an einen von der CIA kontrollierten Server namens "CherryTree" versendet. Zuvor werden sie verschlüsselt. Die Übermittlung läuft verdeckt ab. Die Daten werden in einer HTTP GET Anfrage eines Browser-Cookies für eine Bilddatei versteckt. CherryTree antwortet mit einer entsprechenden Bilddatei.

Zehn Jahre alt

Wie Ars Technica beschreibt, unterscheidet sich CherryBlossom kaum von Router-Malware wie DNSChanger. Die Funktionen, die das CIA-Programm beherrscht, sind aber umfassender. Außerdem besitzt CherryBlossom seine Fähigkeiten bereits seit 2007. Was in der Zwischenzeit vom US-Geheimdienst entwickelt worden ist, könnte noch wesentlich ausgeklügelter sein.

Hat dir der Artikel gefallen? Jetzt teilen!

(futurezone) | Stand: 18.06.2017, 9:50 Uhr

Kommentare