“樱花”虽美,但是“有毒”。美国时间 6 月 15 日,外媒 security affairs 报导称,维基解密释出一批属于 Vault 7 的档案,这些档案包含美国中情局(CIA)网络间谍为了骇进 Wi-Fi 装置使用的“樱花”(Cherry Blossom,简称 CB)框架的细节。
这框架由 CIA 与史丹佛研究所(SRI International)一起开发,可以入侵数百种家用路由器型号,而樱花框架是在“樱桃炸弹”专案下开发的。
樱花框架是什么?原来,它是一种针对无线网络装置基于固件的远端可控植入物,可透过触发漏洞抓取未经授权的存取并加载自订的樱花固件,危及路由器和无线接入点(AP)。
据使用手册介绍,“樱花(CB)系统可监控特定目标在网络上的活动,执行软件漏洞。CB 尤其擅长透过无线(802.11)路由器接入点(AP)等无线网络装置来达成目标。”
维基解密称:“无线装置本身因被植入自订的 CB 固件而受感染,一些装置允许透过无线网络升级固件,因此只要感染,不需要透过物理接触,就可存取装置。”
CB 由 4 个主要部分组成:
- FlyTrap:信标,执行在受感染的装置上,与 CherryTree C&C 服务器通讯。
- CherryTree:在 C&C 服务器上与 FlyTrap 通讯。
- CherryWeb:在 CherryTree 上执行基于 Web 的管理面板。
- Mission:由 C&C 服务器传送到感染装置的一组工作。
CIA 网络间谍使用樱花框架来破坏目标网络上的无线网络装置,然后,透过中间人攻击来窃听和操纵连线装置的网络流量。
FlyTrap 可执行以下恶意工作:
- 监控网络流量,收集感兴趣的资料,如电子邮件位址、MAC 位址、VoIP 号码和聊天用户名。
- 劫持用户到恶意网站。
- 将恶意内容注入资料流量以传递恶意软件。
- 设定 VPN 隧道,以存取连线到 FlyTrap 的 WLAN / LAN 的用户端,进一步利用。
根据这些档案,CherryTree C&C 服务器必须位于安全机构中,并部署在执行 Red Hat Fedora 9 的 Dell PowerEdge 1850 电源供应虚拟服务器上,并有至少 4GB RAM。
这些档案包括 CherryBlossom 可攻击的 200 多种路由器型号的清单,专家注意到,大多是来自不同供应商的旧型号,包括 Belkin、D-Link、Linksys、Aironet / Cisco、Apple AirPort Express、Allied Telesyn、Ambit、AMIT Inc、Accton、3Com、Asustek Co、Breezecom、Cameo、Epigram、Gemtek、Global Sun、Hsing Tech、Orinoco、PLANET Technology、RPT Int、Senao、US Robotics 和 Z-Com。
若想了解更多,可以点维基解密档案。
(本文由 雷锋网 授权转载;首图来源:Wikileaks)
