router cia
DeclanTM, Flickr
Tecnologia

Cos'è Cherry Blossom il malware della CIA che spia tutti i router

Dal 2004 al 2012 i principali dispositivi di accesso alla rete potevano essere controllati dagli agenti federali. E non è detto che sia finita

Milioni di router dei marchi più famosi sotto il controllo diretto della CIA. Anche quello che abbiamo in casa e che si illumina di verde quando trasmette e riceve dati da internet potrebbe essere un alleato inconsapevole degli spioni americani.

Cosa vogliono da noi?

Sempre le stesse cose: conoscere i siti web che visitiamo, le persone con cui chattiamo, il contenuto delle email scambiate con amici, famigliari e colleghi. In un mondo iperconnesso in cui tutti sono potenziali terroristi, monitorare il traffico digitale risulta ogni giorno più necessario ma i metodi brutali che Edward Snowden prima e WikiLeaks poi hanno contribuito a diffondere rendono il Grande Fratello telematico un’ombra pesante con cui è difficile convivere.

Cos’è Cherry Blossom

Sulla scia dell’enorme archivio che prende il nome di Vault7, WikiLeaks ha pubblicato altre 3.000 pagine in cui viene descritto il programma Cherry Blossom, fiore di ciliegio, che di dolce e romantico ha ben poco. Si tratta di un’attività lanciata nel 2004 e proseguita almeno fino al 2012, tesa a lanciare all’interno dei router, ovvero degli apparecchi connessi alla linea internet di case e uffici (ma anche di hotel, stazioni di servizio e luoghi pubblici), un malware che attraverso alcune operazioni riesce a manipolare il traffico in entrata e in uscita dai dispositivi collegati.

È ufficiale: c’è un altro Edward Snowden


Come fa

Per intrufolarsi virtualmente nei sistemi agisce in due modi: si inserisce nei dati di aggiornamento del software del router, quando l’utente va a scaricarlo oppure crea, in maniera automatica, una rete fantasma che ha lo stesso nome (ssid) di quella genuina. Può capitare dunque che una persona si colleghi alla connessione fasulla, messa in piedi proprio a scopo di spionaggio. Una volta dentro, le informazioni che passano per i cavi vengono intercettate e rubate dagli hacker governativi.

Quali modelli rientrano

C’è da dire che il malware riesce a compiere il primo passo perché i router presi di mira hanno già delle vulnerabilità presenti. WikiLeaks individua 25 modelli privilegiati, cioè infettabili in maniera piuttosto semplice, anche quando l’utente ha impostato una password alquanto complicata per accedere alla rete e al pannello di controllo (come il D-Link- DIR-130 e il Linksys WRT300N). Ma sarebbero centinaia quelli individuati dalla CIA come possibili target da colpire tra cui D-Link, Linksys, Motorola, Netgear, Senao, Belkin, Dell, Buffalo e US Robotics.

Dicevamo prima del 2012: vista la quantità di macchine interessate, risulta alquanto strano che il programma si possa essere fermato tutto d'un tratto. Ergo, qualcuno potrebbe spiarci ancora.

La trappola per le mosche

Il terminale infettato diventa una FlyTrap, una trappola per le mosche, che instaura un canale di comunicazione con i federali tramite il server CherryTree controllato appunto dalla CIA. Una volta che questo agguanta il bersaglio, avvia una serie di compiti specifici, inviati tramite un computer centrale tramite una semplice interfaccia chiamata CherryWeb, una porta aperta sul mondo dei dispositivi compromessi, i loro dati e le missioni da intruso che hanno attivato.

Come difendersi

Proteggersi è molto difficile dinanzi alle armi cyber degli agenti. Eppure si può rendere loro la vita difficile, ad esempio impostando una password di accesso al pannello di controllo che sia diversa da quella di default e cambiando il nome alla rete domestica. Anche qui, è sempre meglio cambiare la stringa nascosta per accedere alla rete, visto che persino applicazioni per smartphone sono in grado di riconoscerla se resta quella impostata dall’operatore quando arriva il router a casa.

Fuori casa è sempre buona norma evitare il Wi-Fi pubblico o, quando proprio non se ne può far a meno, non navigare dai telefonini e computer collegati sui social network, email e siti di home banking. Ci vuole davvero poco a impostare una rete fake che sia uno specchietto per le allodole.

I più letti

avatar-icon

Antonino Caffo

Nato un anno prima dell’urlo di Tardelli al Mondiale, dopo una vita passata tra Benevento e Roma torno a Milano nel cui hinterland avevo emesso il primo vagito. Scrivo sul web e per il web da una quindicina di anni, prima per passione poi per lavoro. Giornalista, mi sono formato su temi legati al mondo della tecnologia, social network e hacking. Mi trovate sempre online, se non rispondo starò dormendo, se rispondo e sto dormendo non sono io. "A volte credo che la mia vita sia un continuo susseguirsi di Enigmi" (Guybrush Threepwood, temibile pirata).

Read More