WikiLeaks revela documentos sobre vigilância clandestina à roteadores Wi-Fi pela CIA

O seu roteador Wi-Fi no canto da sala, negligenciado há muito tempo, acumulando poeira e falhas de segurança não corrigidas tem sido um ponto de entrada atrativo para hackers há anos, incluindo a CIA.

Um recente documento secreto de 175 páginas vazado pelo WikiLeaks em 15 de Junho revelou que a CIA tem visado e comprometido roteadores Wi-Fi e pontos de acesso (APs) por anos em um esforço para ampliar sua campanha de vigilância clandestina. Alguns dos documentos revelados datam de 2007, o que significa que a agência vem praticando estes ataques há pelo menos uma década. Entre as dezenas de arquivos estão guias de usuário e instalação, manuais, mapas e gráficos “secretos” que revelam vários conjuntos de ferramentas de hacking de roteadores Wi-Fi.

A ferramenta entitulada CherryBlossom é um sistema multiuso desenvolvido para invadir dezenas de modelos de roteadores Wi-Fi domésticos e corporativos. De acordo com um dos documentos, a CIA realizou, até meados de 2012, implantes para cerca de 25 dispositivos diferentes de 10 fabricantes diferentes, incluindo Asus, Belkin, D-Link, Linksys e Netgear, mas pode ser executado em mais de 100 com pequenas modificações.

O que faz os roteadores serem um alvo tão atraente é que eles são muitas vezes repletos de falhas de segurança que facilitam sua exploração.

“Não há um sinal para dizer se o seu roteador foi invadido ou não – você continua navegando na internet normalmente”, destaca Renato Andalik, especialista em tecnologia e cibersegurança e diretor da Ertech Systems. “A única diferença é que tudo o que você está fazendo na internet agora está passando pela CIA”.

A ferramenta é, de longe, uma das mais sofisticadas estruturas de malware da CIA. O objetivo da CherryBlossom é permitir que os agentes da CIA interajam e controlem os roteadores Wi-Fi na rede das vítimas.

A parte mais complexa do uso do CherryBlossom está na contaminação do roteador Wi-Fi. De acordo com a documentação, tudo começa com uma ferramenta chamada Claymore, que pode escanear a rede para identificar dispositivos e, em seguida, lançar ataques contra os roteadores encontrados. Isso pode ser feito com acesso físico ao dispositivo ou mesmo remotamente, explorando vulnerabilidades existentes em alguns roteadores que permitam que os agentes da CIA instalem um firmware modificado no dispositivo.

Os documentos vazados também citam dois exploits utilizados pela ferramenta, chamados Tomato e Surfside. O Tomato parece explorar vulnerabilidades em roteadores vendidos pela D-Link e Linksys e foi projetado para roubar as senhas administrativas desses dispositivos. Já o Surfside não há detalhes, embora a documentação sugira que ele possa abusar de um protocolo chamado UPNP, incorporado inclusive em milhares de outros dispositivos, como impressoras, players de mídia e TVs inteligentes. Vale ressaltar que a comunidade de segurança tem alertado a indústria de tecnologia sobre os problemas de segurança associados ao uso do protocolo UPNP há anos.

Os roteadores Wi-Fi protegidos com a senha padrão ou fraca são facilmente infectados, diz o manual. Todavia, o ataque é especialmente eficaz contra alguns modelos de roteadores Wi-Fi como D-Link DIR-130 e Linksys WRT300n porque podem ser infectados remotamente mesmo que tenham uma senha de administrador forte.

De acordo com o manual do CherryBlossom, os agentes da CIA podem enviar “missões” para os dispositivos contaminados via uma ferramenta de comando-e-controle chamada CherryTree C&C.

Os tipos de missão variam, demonstrando toda a versatilidade da ferramenta. Por exemplo, as missões podem ser:

▻ espionar o tráfego de Internet da vítima;
▻ interceptar o tráfego e executar ações com base em gatilhos predefinidos (ao acessar uma URL específica, utilizar um determinado nome de usuário, e muito mais);
▻ redirecionar o tráfego de Internet da vítima através de outros servidores e/ou proxies controlados pela CIA;
▻ criar um túnel VPN do agente da CIA diretamente para a rede interna da vítima;
▻ alertar os agentes da CIA quando a vítima se torna ativa (ao utilizar o computador e/ou Internet);
▻ mapear todos os dispositivos conectados à rede local da vítima.

Inclusive, uma vez que um roteador Wi-Fi seja comprometido, suas comunicações com o servidor de comando-e-controle da CIA são criptografadas e disfarçadas para evitar a detecção.

Representantes de vários fabricantes de roteadores não responderam imediatamente aos pedidos de comentários, nem o Stanford Research Institute (SRI), que teria ajudado a CIA no desenvolvimento do CherryBlossom, de acordo com WikiLeaks.

A lista de fornecedores de roteadores Wi-Fi e pontos de acesso (APs) incluídos nos documentos do CherryBlossom são:
3Com, Accton, Aironet/Cisco, Allied Telesyn, Ambit, AMIT, Inc, Apple, Asustek Co, Belkin, Breezecom, Cameo, D-Link, Gemtek, Global Sun, Linksys, Motorola, Orinoco, Planet Tec, Senao, US Robotics e Z-Com.

“Praticamente todas as casas possuem um roteador Wi-Fi, e nós não temos muitas ferramentas para verificar o que está acontecendo nestes dispositivos, portanto, como lembrete para minimizar sua exposição, quando chegar em casa hoje, atualize o firmware do seu roteador e se estiver utilizando a senha padrão do dispositivo, troque-a por uma senha forte”, conclui Renato Andalik.