新闻快讯
< >

CIA用“樱花炸弹”入侵我们的路由器

E安全6月17日讯 维基解密泄露一批Vault 7新文档,详细介绍了CIA网络间谍用来入侵Wi-Fi设备的“樱花”(Cherry Blossom,以下简称CB)框架。

CIA用“樱花炸弹”入侵我们的路由器-E安全

CB框架

CB是一款针对无线网络设备的远程可控固件植入框架,通过触发漏洞获取非授权访问,并加载定制CB固件,从而攻击路由器和无线接入点(AP),可用来入侵数百种家用路由器。

CIA用“樱花炸弹”入侵我们的路由器-E安全

该框架由CIA在“樱花炸弹”( Cherry Bomb)项目下开发,其开发过程得到斯坦福研究所(SRI International)的专家帮助。CB框架由以下四个主要组件构成:

  • FlyTrap :在被攻击设备(与 CherryTree C&C服务器通信)上运行的信标(被攻击固件)。

  • CherryTree :与FlyTrap通信的C&C服务器。

  • CherryWeb :在CherryTree上运行的、基于Web的管理面板。

  • Mission :C&C服务器向被感染设备发送的一系列任务。

CIA用“樱花炸弹”入侵我们的路由器-E安全

Cherry Blossom架构

入侵过程

目标设备一经远程感染,CB会用自己的固件替换现有固件,允许攻击者将路由器或接入点变成所谓的“FlyTrap”。FlyTrap能扫描监控电子邮箱、聊天用户名、MAC地址和VoIP网络电话号码

一旦新固件在设备上出现,路由器或接入点将变成FlyTrap。FlyTrap将通过互联网向C&C服务器“CherryTree”发送信标。信标发送信息包括设备状态和CherryTree登录到数据库的安全信息。为了响应这类信息,CherryTree会通过操作员的任务派遣发送任务。操作员可以使用CherryWeb查看Flytrap状态和安全信息、规划任务执行、查看与任务相关的数据,并执行系统管理任务。

CIA用“樱花炸弹”入侵我们的路由器-E安全

CIA用“樱花炸弹”入侵我们的路由器-E安全FlyTrap诊断数据

此外,由于WiFi设备在家庭、公共场所和办公室极为常见,而CB项目能轻易监控、控制并操纵联网用户的互联网流量,因此CIA可以对目标展开中间人攻击。从而窃听并操纵联网设备的互联网流量。

  • 将用户劫持到恶意网站。

  • 将恶意内容注入至数据流量,以传送恶意软件。

  • 设置VPN隧道,访问连接到Flytrap WLAN/LAN的客户端,以便进一步利用。

入侵要求

维基解密表示,在无线设备上植入定制的CB固件就能对其实施攻击。某些设备允许通过无线链接升级固件,因此,无需物理访问就能成功感染设备。

泄露的文档显示,CherryTree C&C服务器必须位于安全设施内,并部署在戴尔PowerEdge 1850虚拟服务器上(该服务器至少需要4GB的RAM,并且运行Red Hat Fedora 9)。

200多个路由器型号受影响

这批文档包括CB可以攻击的200多个路由器型号列表。专家注意到,大多数路由器为多个厂商的老旧型号,这些厂商包括:

Belkin、 D-Link、Linksys、Aironet/Cisco、Apple AirPort Express、Allied Telesyn、Ambit、AMIT Inc、Accton、3Com、Asustek Co、 Breezecom、 Cameo、Epigram、Gemtek、Global Sun、Hsing Tech、Orinoco、PLANET Technology、 RPT Int、 Senao、US Robotics 和Z-Com......

CIA用“樱花炸弹”入侵我们的路由器-E安全

Cherry Blossom的目标活动总览

维基解密自三月以来公开的CIA工具

下面是E安全整理的维基解密自3月以来披露发布的CIA工具:

  • Cherry Blossom (“樱花”,攻击无线设备的框架);

  • Pandemic(“流行病”,文件服务器转换为恶意软件感染源);

  • Athena(“雅典娜”,恶意间谍软件,能威胁所有Windows版本);

  • AfterMidnight (“午夜之后”,Winodws平台上的恶意软件框架);

  • Archimedes(“阿基米德”,中间人攻击工具) ;

  • Scribbles(CIA追踪涉嫌告密者的程序);

  • Weeping Angel (“哭泣天使”,将智能电视的麦克风转变为监控工具);

  • Hive (“蜂巢”,多平台入侵植入和管理控制工具);

  • Grasshopper(“蝗虫”,针对Windows系统的一个高度可配置木马远控植入工具);

  • Marble Framework (“大理石框架”,用来对黑客软件的开发代码进行混淆处理、防止被归因调查取证);

  • Dark Matter(“暗物质”,CIA入侵苹果Mac和iOS设备的技术与工具) 

受影响的厂商及维基解密公开的文件地址

受Cherry Blossom影响的设备及其厂商列表查看地址:

http://t.cn/RoPJDW2    

维基解密Vault 7 文件地址(包括Cherry Blossom):

http://t.cn/RoPi7UA    

现在,Winodws、Mac、智能手机、智能电视和路由器都被CIA的网络武器攻占,试问我们日常所使用的电子设备还有什么是安全的?!

相关阅读:

CIA Vault 7第四波:蝗虫来袭,微软Windows寸草不生【附下载】
Linux 基金会回应“Vault 7”泄露事件:被 CIA 盯上并不感到意外
维基解密泄露“Vault 7”文件 揭秘CIA黑客工具
维基解密再爆CIA MitM攻击【工具】
CIA反取证工具曝光 安全专家质疑维基解密
维基解密发布CIA所使用的MacBook与iPhone入侵工具包

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。