鲁达 停顿两周后,维基解密又继续披露了CIA(美国中央情报局) Vault 7系列文件里的新文档。
Vault 7系列文件是CIA制造的黑客工具,今天披露是里边一套针对数百款家庭路由器开发的攻击框架,名为CherryBlossom(樱花盛放)。
CherryBlossom是CIA内部最复杂的恶意攻击框架之一,它可以让攻击者接管受害者的家庭路由器网络,并进行控制。
劫持固件更新
CherryBlossom最复杂的组件,是远程部署到受害者路由器上的部分。这部分可以直接现场操作,或者利用漏洞远程执行,让攻击者在目标路由器上安装新的固件。
CherryBlossom内部由多个组件构成,每个组件功能明确:
FlyTrap:在受控设备上进行标示(固件已感染)
据CherryBlossom手册记录,攻击者通过CherryWeb面板控制CherryTree C&C服务器,向被感染路由发送任务(Mission)。
不同任务(Mission)类型差别很大,这可能因为这套工具有着丰富的功能。比如:
窃取目标的上网流量支持超过200种路由器型号
CIA文件显示,FlyTraps可以安装在无线路由器和接入点设备上。有一份文档,专门列出了CherryBlossom支持攻击的200多种路由器型号,其中大部分都是旧型号。这份长达24页的文档没有标注日期,其它的CherryBlossom文档主要在2006年至2012年之间。
文末将列出所有受影响路由器的品牌,想进一步了解它们的具体型号,请参考维基解密的文档。
法国安全研究员X0rz发现一个小细节,可以帮助大家追踪CherryBlossom的部署情况。在这套工具的安装指南里,CherryWeb控制面板的默认URL为“https://CherryTree-ip-address/CherryWeb/”(例如“”),用这个特征扫描全网,可以统计出目前在线仍受CherryBlossom控制的路由器。
美国非营利组织参与开发?
维基解密声称,CIA与一家名为斯坦福研究所的非营利组织共同开发的CherryBlossom。不过斯坦福研究所的名字只出现在一份名为Sundew的文档里,Sundew是Linux平台的无线扫描仪工具,用于识别路由品牌和型号。目前尚不清楚斯坦福研究所是躺枪了,还是真的有参与其中。
在此之前,美国安全公司Siege Technologies曾经帮助CIA开发了恶意木马框架Athena。
最近大半年里,维基解密总共披露了近十套CIA黑客工具,里边有:
Weeping Angel:专门破解三星智能电视附:CherryBlossom文档里记录的受影响路由器品牌
3Com
Accton
Aironet/Cisco
Allied Telesyn
Ambit
AMIT, Inc
Apple
Asustek Co
Belkin
Breezecom
Cameo
D-Link
Gemtek
Global Sun
Linksys
Motorola
Orinoco
Planet Tec
Senao
US Robotics
Z-Com
如若转载,请注明原文地址: www.4