Projekt Kirschblüte: WikiLeaks veröffentlicht CIA-Software zur WLAN-Überwachung

Projekt Kirschblüte: WikiLeaks veröffentlicht CIA-Software zur WLAN-Überwachung
Wikileaks-Gründer Julian Assange spricht auf dem Balkon der ecuadorianischen Botschaft in London. Am 19. Juni nährt sich der fünfte Jahrestag seines Exils, 19. Mai 2017.
Am Donnerstag veröffentlichte WikiLeaks erneut Dokumente über die Internetüberwachung durch den amerikanischen Geheimdienst CIA. Dabei gehen die Whistleblower auch auf die Kooperation der CIA mit zivilen Institutionen ein.

Das Projekt „Cherry Blossom“ setzte die CIA mit Hilfe des Stanford Research Institute (SRI International) um. Das Projekt Kirschblüte bietet eine technische Möglichkeit, die Internetaktivität zu überwachen und Hackerangriffe mithilfe so genannter Software-Exploits auf besondere Zielpersonen durchzuführen.

Insbesondere konzentriert sich CherryBlossom darauf, drahtlose Netzwerkgeräte wie etwa drahtlose Router und Access Points (APs) zu infiltrieren. Solche Wi-Fi-Geräte werden häufig als Teil der Internet-Infrastruktur in Privathäusern und öffentlichen Räumen verwendet. W-Lan befindet sich inzwischen in allen Bereichen des Lebens, in Bars, Hotels oder Flughäfen, in kleinen und mittelständischen Unternehmen.

Lesen Sie auch:  Vault 7: WikiLeaks zerreißt CIA-Tarnkappe  

Daher sind diese Geräte der ideale Ort für "Man-In-The-Middle" -Angriffe, da sie den Internet-Verkehr der angeschlossenen Benutzer leicht überwachen, steuern und manipulieren können. Bei einer „Man-In-The-Middle“-Attacke hängt sich ein unbefugter Nutzer zwischen zwei unterschiedliche Netzknotenpunkte verändert den Inhalt der Kommunikation.

Durch das Ändern der Daten zwischen dem Benutzer und den Internetdiensten kann das infizierte Gerät auch weitere schädliche Inhalte in den Internet-Verkehr einfügen, um weitere Schwachstellen in Programmen oder im Betriebssystem auf dem Computer des angegriffenen Benutzers einzurichten.

Das drahtlose Gerät wird dabei durch eine dem Benutzer angepasste CherryBlossom-Firmware infiltriert. Einige Netzwerkgeräte erlauben ein Upgrate ihrer Firmware auch über eine drahtlose Verbindung, so dass kein physischer Zugang zum Gerät notwendig ist, um dieses erfolgreich mit der Schadsoftware zu infizieren. Sobald die neue Firmware installiert wurde, wird aus dem Router oder Zugriffspunkt ein sogenannter FlyTrap.

Lesen Sie auch: WikiLeaks enthüllt CIA-Instrumente zur Fernsteuerung von Smartphones

FlyTrap verbindet sich über das Internet mit einem Kommando- und Kontroll-Server – dem sogenannten Kirschbaum (cherry tree). Die anhand dieses Verfahrens weitergeleiteten Daten enthalten Informationen wie etwa den Geräte-Status und Sicherheits-Informationen. Die entsprechenden Informationen werden von einer Datenbank erfasst.  

Nach erfolgreicher Übernahme des Endgeräts, stehen dem Nachrichtendienst verschiedene Möglichkeiten und Funktionen zur Verfügung. So lassen sich etwa der Netzwerkverkehr des Nutzers überwachen, oder SSL-Verschlüsselungen umgehen und sogar Anfragen umleiten. Auf diese Weise ist es möglich gezielt weitere Schadsoftware auf den Geräten der User zu platzieren.

Lesen Sie auch: Vault-7: US-Geheimdienste fahnden fieberhaft nach CIA-Maulwurf

Laut den WikiLeaks-Dokumenten laufe Cherry Blossom auf 25 Routern von zehn verschiedenen Herstellern wie etwa D-Link, Asus, Belkin, Linksys. Ob die CIA auch auf die aktuellen Routermodelle noch Zugriff besitzt, ist nach aktuellen Kenntnisstand unbekannt.

Erst vor einigen Wochen veröffentlichte WikiLeaks Dokumente über das Vault 7 – Programm der CIA. Die enthüllten Dokumente tragen den Namen „Marble“ und enthalten nach WikiLeaks-Informationen 676 Quellcodes des anti-forensischen und geheimen CIA Marble Framework. Durch dieses Instrument können Experten daran gehindert werden, vom Nachrichtendienst genutzte Viren, Trojaner, aber auch Hackerangriffe nachvollziehen und rückverfolgen zu können.