Schon seit einigen Jahren ist der US-Geheimdienst CIA offenbar in der Lage, WLAN-Router und Accesspoints zu infizieren und sie dann als Abhörstationen zu missbrauchen. Das belegen Dokumente aus dem Vault-7-Fundus der Enthüllungs-Plattform Wikileaks.
Mit dem aus vielen einzelnen Komponenten zusammengesetzten Spionageprojekt Cherry Blossom (Kirschblüte) kann der amerikanische Geheimdienst den Dokumenten nach eine trojanisierte Firmware auf die Router von zehn verschiedenen Herstellern übertragen, die dann Befehle von einem Command-and-Control-Server entgegennehmen.
Die CIA führt ein komplettes Router-Botnetz
Einen von der Kirschblüte infizierten Router bezeichnen die Dokumente vielsagend als FlyTrap (Fliegenfalle), der Server heißt im Geheimdienst-Slang CherryTree (Kirschbaum). Im Netz-Jargon wird eine solche Konstellation allerdings als Botnet bezeichnet…
Ein typischer Befehl an die FlyTrap könnte zum Beispiel sein, den gesamten Netzwerkverkehr eines bestimmten Nutzers abzuhören oder daraus gezielt Informationen wie Emailadressen, Benutzernamen oder VoIP-Rufnummern abzugreifen.
Mit „Windex“ könnten die CIA-Leute sogar eine Umleitung einrichten, die die Nutzer des Routers beim Surfen beispielsweise auf einen angriffsfreudigen Server weiterleitet, der dann wiederum versucht, den Rechner des Users zu infiltrieren.
Die Kommunikation zwischen Fliegenfalle und Kirschbaum ist nicht nur verschlüsselt, sondern darüber hinaus auch noch gut getarnt: Von außen sieht das Ganze aus, als würde vom Anschluss des Überwachten einfach nur eine Bilddatei (.ico) über einen HTTP-Get heruntergeladen…