Un Grande Fratello via router, un'operazione di spionaggio durata anni e condotta dalla Cia installando sui dispositivi di connettività un software malevolo, Cherry Blossom. Gli ultimi segreti scoperchiati da Vault 7, l'enorme archivio di documenti che un po' alla volta Wikileaks sta pubblicando, riguardano ancora una volta l'agenzia di intelligence emanazione del governo degli Stati Uniti, già malaugurata protagonista di precedenti rivelazioni. La piattaforma di Julian Assange ha dettagliato tecnicamente il modo in cui la Central Intelligence Agency ha condotto per anni attività di cyberspionaggio attraverso un malware dal nome poetico (“fiore di ciliegio”) si sua creazione, installato su circa 25 modelli di router WiFi di una decina di produttori.
I marchi coinvolti sono Asus, Belking, Buffalo, D-Link (il solo modello Dir-130, un prodotto piuttosto datato), Dell, Linksys, Netgear, Motorola, Senao e Us Robotics. Coinvolti a loro insaputa, s'intende: Cherry Blossom, infatti, veniva installato sui router usando gli aggiornamenti dei firmware come occasione propizia oppure creando delle connessioni wireless ad hoc, nominate allo stesso modo di quelle legittime esistenti ma dotate di un segnale più forte (e che quindi prevalevano, all'atto del collegamento automatico del router a una rete WiFi preimpostata).
A che cosa servivano tutte queste macchinazioni? Una volta colonizzato il dispositivo, il malware nelle sue diverse componenti (interfaccia Web, sistema di command-and-control) consente di controllare da lontano quali fossero le attività in Rete dell'utente: siti Web frequentati, ma anche email ricevute e inviate. E non è tutto, perché con Cherry Blossom è anche tecnicamente possibile reindirizzare il browser verso siti infetti, copiare e trasferire dati, intercettare password, monitorare i dispositivi connessi a una rete e installarvi ulteriore software.
L'operazione Cherry Blossom pare chiaramente molto estesa, se non altro perché sarebbe andata avanti dal 2004 (anno di sviluppo del malware) almeno fino al 2012, senza nemmeno poter escludere che sia ancora in corso. D'altra parte, con gli aggiornamenti software rilasciati periodicamente dai produttori di router una minaccia di questo tipo potrebbe essere stata neutralizzata almeno in parte. Un'altra utile barriera di fronte ad attacchi di questo tipo è la password di amministratore correlata ai dispositivi di rete, che però spesso – come ha dimostrato anche l'operazione DDoS compiuta da Mirai l'anno scorso – non viene modificata rispetto alle impostazioni di default.