CIA机密文件遭曝光 | 黑客工具樱花盛开遭维基解密披露【转】

2017年6月15日,维基解密再次放出一批CIA顶级机密文件,披露了CIA内部机密黑客工具: 代号 CherryBlossom(译称“樱花盛开”)无线路由黑客框架。

据维基解密指出,CIA利用樱花盛开”工具劫持目标网络上的无线网络设备,执行中间人攻击来监控、操纵目标用户的互联网流量。

 

一旦完全控制无线设备,“樱花盛开”将通知CIA的C2服务器(CherryTree ),并获取要执行的恶意任务,包括:

  • 监控网络流量以收集电子邮件地址,聊天用户名,MAC地址和VoIP号码
  • 将连接的用户重定向到恶意网站
  • 将恶意内容注入数据流,以欺骗性地传递恶意软件并危及连接的系统
  • 设置VPN隧道,以访问连接到FlyTrap的WLAN / LAN的客户端进行进一步的利用
  • 复制目标设备的完整网络流量

“樱花盛开”架构图

“樱花盛开”框架利用路由器漏洞获取权限,替换路由器固件为后门固件,达到远程控制路由设备。已感染设备(代号:捕蝇草)被用于监视目标的网络活动,散播恶意程序。

 

无线设备的感染方式为植入定制的“樱花盛开”后门固件。

 

部分设备支持通过无线方式升级固件,因此无需物理访问就能成功感染。同时CIA可以通过供应链黑客技术,在设备到达用户之前替换掉设备固件。还可以使用Claymore来寻找可以被黑的路由器,使用辅助天线可以达到更广的搜索范围。

 

根据安装指南,CherryTree C&C服务器必须位于安全资助机构中,并安装在运行Red Hat Fedora 9的Dell PowerEdge 1850供电虚拟服务器上,具有至少4GB的RAM。Fedora 9发布于2008年,可猜测此套系统已被使用多年。

“樱花盛开”操作界面

樱花可以利用以下供应商制造的数百种Wi-Fi设备中的漏洞(尚未发现中国设备),包括:

Belkin,D-Link,Linksys,Aironet / Cisco,Apple AirPort Express,Allied Telesyn,Ambit,AMIT Inc,Accton,3Com,Asustek Co,Breezecom,Cameo,Epigram,Gemtek,Global Sun,Hsing Tech,Orinoco,PLANET Technology, RPT Int,Senao和Z-Com。

此条目发表在安全资讯, 未分类分类目录。将固定链接加入收藏夹。