2
| 本文作者: 李勤 | 2017-06-16 10:52 |
“櫻花”雖美,但是“有毒”。
美國時(shí)間6月15日,外媒 security affairs 報(bào)道稱,維基解密發(fā)布了一批屬于Vault 7的文檔,這些文件包含了美國中情局(CIA) 網(wǎng)絡(luò)間諜為了黑進(jìn)Wi-Fi 設(shè)備而使用的“櫻花”( Cherry Blossom,簡(jiǎn)稱 CB)框架的細(xì)節(jié)。
這個(gè)框架由 CIA 與斯坦福研究所(SRI International)一起開發(fā),可以入侵?jǐn)?shù)百種家用路由器型號(hào),而櫻花框架是在“櫻桃炸彈”項(xiàng)目下開發(fā)的。
櫻花框架具體是什么?雷鋒網(wǎng)了解到,原來,它是一種針對(duì)無線網(wǎng)絡(luò)設(shè)備的基于固件的遠(yuǎn)程可控植入物,可以通過觸發(fā)漏洞獲取未經(jīng)授權(quán)的訪問并加載自定義的櫻花固件,從而危及路由器和無線接入點(diǎn)(AP)。
據(jù)使用手冊(cè)介紹,“櫻花(CB)系統(tǒng)可以監(jiān)控特定目標(biāo)在互聯(lián)網(wǎng)上的活動(dòng),執(zhí)行軟件漏洞。CB尤其擅長(zhǎng)通過無線(802.11)路由器接入點(diǎn)(AP)等無線網(wǎng)絡(luò)設(shè)備來達(dá)成目標(biāo)。”
維基解密稱:“無線設(shè)備本身因?yàn)楸恢踩肓硕ㄖ频?CB 固件而受感染,一些設(shè)備允許通過無線鏈路升級(jí)其固件,因此只要感染,不需要通過物理接觸,訪問設(shè)備。”
CB 由四個(gè)主要組成部分組成:
FlyTrap - 信標(biāo),運(yùn)行在受感染的設(shè)備上,與CherryTree C&C服務(wù)器通信。
CherryTree - 在C&C服務(wù)器上與FlyTrap通信。
CherryWeb - 在CherryTree上運(yùn)行的基于Web的管理面板
Mission - 由C&C服務(wù)器發(fā)送到感染設(shè)備的一組任務(wù)
CIA 網(wǎng)絡(luò)間諜使用櫻花框架來破壞目標(biāo)網(wǎng)絡(luò)上的無線網(wǎng)絡(luò)設(shè)備,然后,通過中間人攻擊來竊聽和操縱連接設(shè)備的互聯(lián)網(wǎng)流量。
FlyTrap可以執(zhí)行以下惡意任務(wù):
監(jiān)控網(wǎng)絡(luò)流量,收集感興趣的數(shù)據(jù),如電子郵件地址、MAC地址、VoIP號(hào)碼和聊天用戶名。
劫持用戶到惡意網(wǎng)站。
將惡意內(nèi)容注入數(shù)據(jù)流量以傳遞惡意軟件。
設(shè)置VPN隧道,以訪問連接到FlyTrap的WLAN / LAN的客戶端,進(jìn)行進(jìn)一步的利用。
雷鋒網(wǎng)了解到,根據(jù)這些文件,CherryTree C&C 服務(wù)器必須位于安全機(jī)構(gòu)中,并部署在運(yùn)行 Red Hat Fedora 9的Dell PowerEdge 1850供電虛擬服務(wù)器上,并具有至少 4GB 的RAM。
雷鋒網(wǎng)注意到,這些文件包括 CherryBlossom 可攻擊的 200多種路由器型號(hào)的列表,專家們注意到,它們大多是來自不同供應(yīng)商的舊型號(hào),包括Belkin,D-Link、Linksys、Aironet / Cisco、Apple AirPort Express、Allied Telesyn、Ambit、 AMIT Inc、Accton、3Com、Asustek Co、Breezecom、Cameo、Epigram、Gemtek、Global Sun、Hsing Tech、Orinoco、PLANET Technology、RPT Int、Senao、US Robotics 和Z-Com。
若想了解更多,可以點(diǎn)擊這里獲得這份文件:維基解密文件。
雷峰網(wǎng)版權(quán)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
