维基解密披露CIA「樱花」计画:200多款Wi-Fi路由器中招,涵盖市面各大品牌.
「樱花」虽美,但是「有毒」。美国时间6月15日,外媒security affairs报导称,维基解密释出一批属于Vault 7的档案,这些档案包含美国中情局(CIA)网路间谍为了骇进Wi-Fi装置使用的「樱花」( Cherry Blossom,简称CB)框架的细节。
这框架由CIA 与史丹佛研究所(SRI International)一起开发,可以入侵数百种家用路由器型号,而樱花框架是在「樱桃炸弹」专案下开发的。
樱花框架是什么?原来,它是一种针对无线网路装置基于韧体的远端可控植入物,可透过触发漏洞抓取未经授权的存取并加载自订的樱花韧体,危及路由器和无线接入点(AP)。
据使用手册介绍,「樱花(CB)系统可监控特定目标在网路上的活动,执行软体漏洞。CB 尤其擅长透过无线(802.11)路由器接入点(AP)等无线网路装置来达成目标。」
维基解密称:「无线装置本身因被植入自订的CB 韧体而受感染,一些装置允许透过无线网路升级韧体,因此只要感染,不需要透过物理接触,就可存取装置。」
CB由4 个主要部分组成:
- FlyTrap:信标,执行在受感染的装置上,与CherryTree C&C伺服器通讯。
- CherryTree:在C&C伺服器上与FlyTrap通讯。
- CherryWeb:在CherryTree上执行基于Web的管理面板。
- Mission:由C&C伺服器传送到感染装置的一组工作。
CIA 网路间谍使用樱花框架来破坏目标网路上的无线网路装置,然后,透过中间人攻击来窃听和操纵连线装置的网路流量。
FlyTrap 可执行以下恶意工作:
- 监控网路流量,收集感兴趣的资料,如电子邮件位址、MAC 位址、VoIP 号码和聊天用户名。
- 劫持用户到恶意网站。
- 将恶意内容注入资料流量以传递恶意软体。
- 设定VPN 隧道,以存取连线到FlyTrap 的WLAN / LAN 的用户端,进一步利用。
根据这些档案,CherryTree C&C 伺服器必须位于安全机构中,并部署在执行Red Hat Fedora 9 的Dell PowerEdge 1850 电源供应虚拟伺服器上,并有至少4GB RAM。
这些档案包括CherryBlossom 可攻击的200 多种路由器型号的清单,专家注意到,大多是来自不同供应商的旧型号,包括Belkin、D-Link、Linksys、Aironet / Cisco、Apple AirPort Express、Allied Telesyn、Ambit、 AMIT Inc、Accton、3Com、Asustek Co、Breezecom、Cameo、Epigram、Gemtek、Global Sun、Hsing Tech、Orinoco、PLANET Technology、RPT Int、Senao、US Robotics 和Z-Com。
