Slaptasis žvalgybininkų skaitmeninis implantas, pavadintas „CherryBlossom“, gali būti itin efektyvus prieš asmenis, naudojančius kai kuriuos „DLink“ maršrutizatorius (DIR-130 modelius) ir „Linksys“ gaminamus aparatus (kalba eina apie WRT300N seriją), nes juos nuotoliniu būdu galima užkrėsti net ir tuo atveju, kai jie yra apsaugoti stipriu administratoriaus slaptažodžiu. Šių maršrutizatorių slaptažodžius gali nustatyti piktybinis įrankis, pavadintas „Tomato“. Tiesa, tik tuo atveju jeigu įjungta funkcija „Universal plug and play“ (o gamykliniuose nustatymuose ji būna įjungta).
Maršrutizatoriai, kurie yra apsaugoti gamykliniu ar nesunkiai atspėjamu slaptažodžiu, apskritai yra lengvai „nulaužiami“ ir infekuojami. Pagal „WikiLeaks“ nutekintą informaciją, iš viso „CherryBlossom“ gali veikti 25 maršrutizatorių modeliuose, nors tikėtina, kad atlikus tam tikras modifikacijas šį skaičių būtų galima išplėsti šimtais.
175 puslapių apimties „CherryBlossom“ vartotojo instrukcija aprašo „Linux“ pagrindo operacinę sistemą, kuri gali veikti plačiame maršrutizatorių spektre. Po įdiegimo „CherryBlossom“ įrenginį paverčia „musgaudžiu“ („FlyTrap“), kuris siunčia signalus CŽV valdomai tarnybinei stočiai, pavadintai „CherryTree“. Signaluose užšifruota įrenginio būsena ir saugumo informacija, kurią „CherryTree“ įtraukia į savo duomenų bazę. Tuo pačiu „CherryTree“ užkrėstam maršrutizatoriui siunčia „misijos“ („Mission“) modulį, sudarytą iš specifinių užduočių, kurios būna pritaikomos kiekvienam taikiniui konkrečiai. CŽV darbuotojai per naršyklės pagrindu sukurtą vartotojo sąsają gali patikrinti „musgaudžio“ būseną ir saugumo informaciją, planuoti naujas misijas, peržiūrėti su misijomis susijusius duomenis ir atlikti sistemų administravimo užduotis.
„Misijos“ moduliai į vartotojus gali būti nukreipiami pagal jų įrenginių IP adresus, elektroninio pašto adresus, MAC adresus, pseudonimus interneto pokalbių tarnybose, VoIP numerius. Užduotyse gali būti viso arba dalies duomenų srauto kopijavimas, elektroninio pašto adresų kopijavimas, VoIP ar pokalbių tarnybų pašnekovų atpažinimo duomenų identifikavimas, funkcijos „Windex“ iškvietimas (ji vartotojo naršyklę nukreipia tam tikru adresu, kur bandoma atlikti „drive-by“ tipo ataką; užmezga ryšį su internetu per VPN tarnybą ir visus vartotojo prisijungimus prie tinklo vykdo per tarpines („proxy“) tarnybines stotis)
Bet kokia komunikacija tarp užkrėsto maršrutizatoriaus („musgaudžio“) ir jį valdančios CŽV tarnybinės stoties „CherryTree“ vykdoma šifruotu ir kriptografiškai autentifikuotu būdu (išskyrus nukopijuotų tinklo duomenų siuntimą). Siekiant dar labiau padidinti šnipinėjimo operacijos slaptumą, šifruoti duomenys maskuojami kaip naršyklės slapukas HTTP GET užklausoje. „CherryTree“ į tokią užklausą atsako persiųsdamas dvejetainę rinkmeną, užmaskuotą kaip iliustraciją.
Šnipinėjimas truko dešimtmetį
Daugeliu atžvilgių „CherryBlossom“ nedaug kuo skiriasi nuo „DNSChanger“ ir kitos piktybinės programinės įrangos, nukreiptos prieš maršrutizatorius ir pastaraisiais metais užkrėtusios šimtus tūkstančių įrenginių. Tačiau CŽV įrankis išsiskiria tuo, kad jam būdingas itin platus funkcijų sąrašas. Taip pat svarbu tai, kad vartotojo instrukcijos sukūrimo data yra 2007 metai, kai atakos prieš maršrutizatorius nebuvo ištobulintos taip, kaip šiandien.
Informacija apie šį įrankį priklauso „WikiLeaks Vault7“ dokumentų serijai – ši informacija „WikiLeaks“ pasiekė tada, kai, anot šios svetainės šeimininkų, „CŽV prarado didžiosios savo programišių arsenalo dalies kontrolę“. CŽV atstovai nei patvirtino, nei paneigė dokumentų autentiškumo, tačiau sprendžiant pagal informacijos kiekį ir dokumentuose atskleidžiamas detales, ekspertai linkę manyti, kad tai yra tikrai iš CŽV gauta medžiaga.
Dar daugiau, kibernetinio saugumo bendrovės „Symantec“ ekspertai bent vieną „Vault7“ dokumentą susiejo su pažangia skaitmeninio įsilaužimo operaciją, kurios metu buvo įsiskverbta į įvairių pasaulio šalių vyriausybinių ir privačių organizacijų kompiuterius – operacija truko ne vienerius metus. Nors „WikiLeaks“ informacijos publikavimą motyvuoja kaip siekį „pradėti visuomeninę diskusiją apie saugumą, kibernetinių ginklų kūrimą, platinimą ir demokratinę kontrolę“, iš esmės nepaskelbta jokių duomenų, kurie rodytų, kad CŽV piktnaudžiauja šiais įrankiais.