据维基解密指出,CIA利用“樱花盛开”工具劫持目标网络上的无线网络设备,执行中间人攻击来监控、操纵目标用户的互联网流量。
一旦完全控制无线设备,“樱花盛开”将通知CIA的C2服务器(CherryTree ),并获取要执行的恶意任务,包括:
- 监控网络流量以收集电子邮件地址,聊天用户名,MAC地址和VoIP号码
- 将连接的用户重定向到恶意网站
- 将恶意内容注入数据流,以欺骗性地传递恶意软件并危及连接的系统
- 设置VPN隧道,以访问连接到FlyTrap的WLAN / LAN的客户端进行进一步的利用
- 复制目标设备的完整网络流量
“樱花盛开”框架利用路由器漏洞获取权限,替换路由器固件为后门固件,达到远程控制路由设备。已感染设备(代号:捕蝇草)被用于监视目标的网络活动,散播恶意程序。
无线设备的感染方式为植入定制的“樱花盛开”后门固件。
部分设备支持通过无线方式升级固件,因此无需物理访问就能成功感染。同时CIA可以通过供应链黑客技术,在设备到达用户之前替换掉设备固件。还可以使用Claymore来寻找可以被黑的路由器,使用辅助天线可以达到更广的搜索范围。
根据安装指南,CherryTree C&C服务器必须位于安全资助机构中,并安装在运行Red Hat Fedora 9的Dell PowerEdge 1850供电虚拟服务器上,具有至少4GB的RAM。Fedora 9发布于2008年,可猜测此套系统已被使用多年。
“樱花盛开”操作界面
樱花可以利用以下供应商制造的数百种Wi-Fi设备中的漏洞(尚未发现中国设备),包括:
Belkin,D-Link,Linksys,Aironet / Cisco,Apple AirPort Express,Allied Telesyn,Ambit,AMIT Inc,Accton,3Com,Asustek Co,Breezecom,Cameo,Epigram,Gemtek,Global Sun,Hsing Tech,Orinoco,PLANET Technology, RPT Int,Senao和Z-Com。