ล่าสุด ทาง WikiLeaks ได้เผยแพร่ข้อมูลที่เป็นตอนต่อเนื่องของซีรี่ย์เรื่องฉาวๆ ของซีไอเอที่ตั้งชื่อไว้ว่า Vault 7 โดยเฉพาะกลยุทธ์และเครื่องมือที่พัฒนามาเพื่อล้วงความลับชาวบ้านอย่างเหนือชั้น จนหลุดรอดออกมาให้อาชญากรทั่วโลกได้ใช้ประโยชน์อย่างครึกโครมอย่างกรณี WannaCry ที่ผ่านมา
ซึ่งครั้งนี้เป็นเรื่องเกี่ยวกับทูลที่ชื่อ CherryBlossom ซึ่งเป็นเฟรมเวิร์กที่นำไปใช้งานได้หลากหลาย โดยเฉพาะการเจาะระบบเราเตอร์หลายร้อยรุ่นทั่วโลกให้ร่วงระนาวกราวรูดดั่งกลีบซากุระกันเลยทีเดียว นับเป็นหนึ่งในชุดพัฒนามัลแวร์ที่ซับซ้อนมากที่สุดของ CIA ซึ่งสามารถเข้าควบคุมเราเตอร์ตามบ้านหรือออฟฟิศขนาดเล็กเพื่อเจาะเข้าเครือข่ายภายในอย่างไม่มีใครต้านได้
จุดเด่นของมัลแวร์ซากุระนี้คือการแทรกตัวเข้าไปฝังอยู่ในเราเตอร์ ซึ่งทำได้ทั้งจากการเข้าถึงเราเตอร์โดยตรง หรือติดตั้งจากระยะไกลผ่านช่องโหว่ที่เปิดให้เจ้าหน้าที่ CIA ติดตั้งเฟิร์มแวร์ตัวใหม่บนอุปกรณ์ของเหยื่อได้ หลังจากนั้นก็จะสามารถสั่งการต่างๆ ผ่านเซิร์ฟเวอร์ควบคุมสั่งการหรือ C&C ผ่านหน้าควบคุมที่ออกแบบมาโดยเฉพาะที่มีชื่อว่า CherryWeb
คำสั่งที่ CIA สามารถส่งให้เราเตอร์ผีดิบของตนเองทำงานให้ได้ มีตั้งแต่การดูดข้อมูลที่วิ่งบนเราเตอร์ เช่น การท่องเว็บต่างๆ รวมไปถึงการให้ดำเนินการอย่างใดอย่างหนึ่งถ้ามีการส่งข้อมูลที่ระบุไว้ล่วงหน้า (เช่น URL, ชื่อผู้ใช้, อีเมล์, ที่อยู่ MAC เป็นต้น), การรีไดเรกต์ทราฟิกบนอินเทอร์เน็ตให้ไปยังเซิร์ฟเวอร์หรือพร็อกซี่ที่ต้องการ, การสร้างท่อ VPN จากตัว CIA เองไปยังเครื่องที่ต้องการบนเครือข่ายของเหยื่อ, การแจ้งเตือนเมื่อผู้ใช้เริ่มมีกิจกรรมการใช้งานบางอย่าง, ไปจนถึงการสแกนทรัพยากรบนเครือข่ายของเหยื่อทั้งหมด เป็นต้น
จากข้อมูลของ WikiLeak นี้ พบว่าเราเตอร์ที่ตกเป็นเหยื่อของคุณซากุระนี่มีมากกว่า 200 รุ่น ส่วนใหญ่จะเป็นเราเตอร์รุ่นค่อนข้างเก่าช่วงปี 2549 – 2555 ซึ่งคุณสามารถตรวจสอบได้จาก https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devices.pdf
ทั้งนี้ มีนักวิจัยด้านความปลอดภัยชาวฝรั่งเศสชื่อ Xorz ที่พบข้อมูลบางอย่างที่ช่วยให้สามารถตรวจสอบว่าเราเตอร์ของเราโดนผีซากุระนี้เข้าสิงได้หรือไม่ เช่น การลองเข้า URL ของหน้าคอนโทรลพาเนล อย่าง https://ไอพีเราเตอร์หรือเซิร์ฟเวอร์ที่คิดว่าติดมัลแวร์/CherryWeb (เช่น https://192.168.1.1/CherryWeb) หรือการสแกนหาโฟลเดอร์ CherryWeb เป็นต้น
ทั้งนี้ การเปิดเผยข้อมูลของ WikiLeaks จะเป็นแค่รายละเอียดของทูลของ CIA เท่านั้น ไม่ได้ปล่อยตัวทูลเป็นๆ มาให้วายร้ายทั่วโลกใช้อย่างที่กลุ่ม Shadow Brokers ทำแบบกรณี WannaCry
