多份维基解密于2017年6月15日披露的文件显示,CIA早在2006年便开始了一项名为“樱花盛开”(Cherry Blossom)的项目。曝光的文档资料详实,图文并茂,长达数百页。
“樱花盛开”项目通过黑掉多达200种的无线设备(路由器或AP),进而对连接在路由器后的用户终端进行各种基于网络的攻击。根据维基解密曝光一份2012年的设备列表文档,其中常见品牌有思科、苹果、D-link、Linksys、3Com、Belkin等。暂时没有发现国产品牌。
据称,“樱花盛开工具”是CIA在美国非盈利研究机构斯坦福研究所(SRI International)的帮助下设计的,是CIA“樱桃炸弹”项目的一部分。而SRI目前尚未对此表态。
“樱花盛开”架构
根据曝光的文档,我们可以看到“樱花盛开”的架构如下:
红字所列为“樱花盛开”系统组件,主要部分描述如下:
FlyTrap:捕蝇草,被植入“樱花盛开”的无线设备,负责与 CherryTree C&C 服务器通信
CherryTree:樱树,C&C服务器
CherryWeb:CherryTree上运行的网页控制台
Missions:C&C服务器发送的任务,用于感染无线设备
“樱花盛开”攻击方式
“樱花盛开”工具本质上是一款基于固件的可远程植入框架,可以利用漏洞获取未经授权的访问权限并加载自定义的樱花固件,从而入侵路由器和无线接入点(AP)。
然后可以使用植入式设备(Flytrap)来监控目标的互联网活动并将向目标传送软件漏洞利用内容。
通过在无线设备上植入定制的樱花固件让无线设备本身受到影响;一些设备允许通过无线链接升级固件,因此无需物理访问设备就能实现成功入侵。
在植入FlyTrap后,路由器会自动向CherryTree发回信息,之后CIA操作人员即可在Web控制台中进行操作并下达任务来对目标进行攻击。
监控网络流量以收集电子邮件地址,聊天用户名,MAC地址和VoIP号码;
将接入受攻击网络的用户重定向到恶意网站;
将恶意内容注入数据流,以欺诈手段传递恶意软件并影响加入受攻击网络的系统;
设置VPN通道,使用户连接到FlyTrap的WLAN / LAN,进行进一步的利用;
复制目标设备的完整网络流量
安装指南还提示,CherryTree C&C服务器必须位于安全支持设备中,并安装在至少有4GBRAM、能运行Red Hat Fedora 9的Dell PowerEdge 1850供电虚拟服务器上。Fedora 9于2008年发布,由此可见,CIA这个“樱花盛开”项目历史多么“悠久”。
根据维基解密曝光的一份用户手册,操作人员可以简单地通过CherryWeb网页控制台来给被植入设备发送任务来达到目的。
CherryWeb控制台截图:Mission
Mission种类繁多,包含但不限于以下几类:
1.监听目标流量
2.嗅探的流量匹配预定义触发器(如链接=cnn.com,用户名,电子邮件,MAC地址等)后,执行多种后续操作
3.重定向目标的Internet流量/连接到预设的代理服务器/钓鱼网站
4.目标上线告警
5.内网扫描
我是否中招?
由于曝光的文档中并没有发现国产品牌,加上CIA人力所限,绝大部分国内用户还是可以安心的。
对于使用国外品牌的用户,可以尝试通过 https://路由器ip/CherryWeb/ 链接来查看路由器是否已经遭到入侵。最安全的方法还是等待厂商固件更新后重刷厂商的更新固件。但是,“樱花盛开”会默认禁止普通的固件更新操作。
“樱花盛开”项目文档提及的无线设备品牌部分列表如下:
3Com
Accton
Aironet/Cisco
Allied Telesyn
Ambit
AMIT, Inc
Apple
Asustek Co
Belkin
Breezecom
Cameo
D-Link
Gemtek
Global Sun
Linksys
Motorola
Orinoco
Planet Tec
Senao
US Robotics
Z-Com
欲获取更多“樱花盛开”影响的无线设备详情,可以访问Wiki Leaks解密文档的原链接查看:https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devices.pdf
维基解密披露的其他CIA工具
自3月以来,维基解密共披露了11批Vault 7系列工具,除了“樱花盛开”外,还有如下10个:
Pandemic——可被CIA利用,将Windows文件服务器转换为可以静默感染目标网络中感兴趣的其他计算机的隐蔽攻击机;1 June, 2017
Athena – CIA的间谍软件框架,旨在远程控制受感染的Windows PC,适用于从Windows XP到Windows 10的每个版本的Microsoft Windows操作系统; 19 May, 2017
AfterMidnight and Assassin – Microsoft Windows平台的两个CIA恶意软件框架,旨在监视和报告受感染的远程主机上的操作并执行恶意操作;12 May, 2017
Archimedes – 据称是CIA创建的一个中间人(MitM)攻击工具,目标瞄准局域网(LAN)内的计算机;5 May, 2017
Scribbles – 将“网络信标”嵌入机密文件,可以让间谍机构跟踪内部人员和举报人; 28 April, 2017
Weeping Angel – CIA的间谍工具,可以渗透智能电视,将电视转变为隐蔽式麦克风,用于监听;21 April, 2017
Hive –后端基础设施恶意软件,具有面向公众的HTTPS接口,可以渗透目标主机信息并传输给CIA,同时接收其运营商的命令在目标主机执行目标上的特定任务。
Grasshopper – 这个框架可让CIA轻松创建自定义恶意软件,入侵Microsoft Windows并绕过防病毒保护;7 April, 2017
Marble Framework– 揭露了CIA的秘密反监识框架的源代码。这个框架本质上是CIA使用的混淆器或封隔器,用于隐藏其恶意软件的实际来源;31 March, 2017
Dark Matter –揭露了CIA用于定位iPhone和Mac的利用工具;23 March, 2017