「櫻花」雖美,但是「有毒」。美國時間 6 月 15 日,外媒 security affairs 報導稱,維基解密釋出一批屬於 Vault 7 的檔案,這些檔案包含美國中情局(CIA)網路間諜為了駭進 Wi-Fi 裝置使用的「櫻花」(Cherry Blossom,簡稱 CB)框架的細節。 這框架由 CIA 與史丹佛研究所(SRI International)一起開發,可以入侵數百種家用路由器型號,而櫻花框架是在「櫻桃炸彈」專案下開發的。
櫻花框架是什麼?原來,它是一種針對無線網路裝置基於韌體的遠端可控植入物,可透過觸發漏洞抓取未經授權的存取並加載自訂的櫻花韌體,危及路由器和無線接入點(AP)。
據使用手冊介紹,「櫻花(CB)系統可監控特定目標在網路上的活動,執行軟體漏洞。CB 尤其擅長透過無線(802.11)路由器接入點(AP)等無線網路裝置來達成目標。」
維基解密稱:「無線裝置本身因被植入自訂的 CB 韌體而受感染,一些裝置允許透過無線網路升級韌體,因此只要感染,不需要透過物理接觸,就可存取裝置。」
CB 由 4 個主要部分組成:
- FlyTrap:信標,執行在受感染的裝置上,與 CherryTree C&C 伺服器通訊。
- CherryTree:在 C&C 伺服器上與 FlyTrap 通訊。
- CherryWeb:在 CherryTree 上執行基於 Web 的管理面板。
- Mission:由 C&C 伺服器傳送到感染裝置的一組工作。
CIA 網路間諜使用櫻花框架來破壞目標網路上的無線網路裝置,然後,透過中間人攻擊來竊聽和操縱連線裝置的網路流量。
FlyTrap 可執行以下惡意工作:
- 監控網路流量,收集感興趣的資料,如電子郵件位址、MAC 位址、VoIP 號碼和聊天用戶名。
- 劫持用戶到惡意網站。
- 將惡意內容注入資料流量以傳遞惡意軟體。
- 設定 VPN 隧道,以存取連線到 FlyTrap 的 WLAN / LAN 的用戶端,進一步利用。
根據這些檔案,CherryTree C&C 伺服器必須位於安全機構中,並部署在執行 Red Hat Fedora 9 的 Dell PowerEdge 1850 電源供應虛擬伺服器上,並有至少 4GB RAM。
這些檔案包括 CherryBlossom 可攻擊的 200 多種路由器型號的清單,專家注意到,大多是來自不同供應商的舊型號,包括 Belkin、D-Link、Linksys、Aironet / Cisco、Apple AirPort Express、Allied Telesyn、Ambit、AMIT Inc、Accton、3Com、Asustek Co、Breezecom、Cameo、Epigram、Gemtek、Global Sun、Hsing Tech、Orinoco、PLANET Technology、RPT Int、Senao、US Robotics 和 Z-Com。
