Kirschblüten von der CIA im Router

Von Klaus Ahrens

Schon seit langer Zeit ist die CIA offenbar dazu imstande, Internet-Router zu infizieren und dann als Abhörstationen zu mißbrauchen. Das kann man Dokumenten aus dem Vault-7-Fundus von Wikileaks entnehmen.

Mit ihrem aus vielen einzelnen Komponenten bestehenden Spionageprojekt Cherry Blossom (Kirschblüte) kann der US-Geheimdienst danach eine trojanisierte Firmware auf die Router von zehn verschiedenen Herstellern aufbringen, die dann Befehle von einem Command-and-Control-Server entgegegennimmt.

Die CIA betreibt ein komplettes Router-Botnetz

Einen infizierten Router bezeichnen die Dokumente vielsagend als FlyTrap (Fliegenfalle), der Server wird CherryTree (Kirschbaum) genannt. Im Netz-Jargon wird eine solche Konstellation als Botnet bezeichnet.

Ein typischer Befehl an die FlyTrap könnte beispielsweise lauten, den gesamten Netzwerkverkehr eines bestimmten Nutzers abzuhören oder gezielt Informationen wie Emailadressen, Benutzernamen oder VoIP-Rufnummern abzugreifen.

Mit „Windex“ könnten die CIA-Leute auch eine Umleitung einrichten, die die Nutzer des Routers beim Surfen zum Beispiel auf einen angriffslustigen Server weiterleitet, der dann wiederum versucht, den Rechner zu infiltrieren. Die Kommunikation zwischen FlyTrap und CherryTree ist nicht nur verschlüsselt, sondern auch gut getarnt: Für Dritte sieht das Ganze so aus, als würde vom Anschluss des Überwachten eine Bilddatei (.ico) über einen HTTP-Get angefordert…