CIA Vault7最新泄露文檔：櫻花盛開

多份維基解密於2017年6月15日披露的文件顯示，CIA早在2006年便開始了一項名為「櫻花盛開」(Cherry Blossom)的項目。曝光的文檔資料詳實，圖文並茂，長達數百頁。

「櫻花盛開」項目通過黑掉多達200種的無線設備

（

路由器或AP），進而對連接在路由器後的用戶終端進行各種基於網路的攻擊。根據維基解密曝光一份2012年的設備列表文檔，其中常見品牌有思科、蘋果、D-link、Linksys、3Com、Belkin等。暫時沒有發現國產品牌。

據稱，「櫻花盛開工具」是CIA在美國非盈利研究機構斯坦福研究所（SRI International）的幫助下設計的，是CIA「櫻桃炸彈」項目的一部分。而SRI目前尚未對此表態。

「櫻花盛開」架構

根據曝光的文檔，我們可以看到「櫻花盛開」的架構如下：

紅字所列為「櫻花盛開」系統組件，主要部分描述如下：

FlyTrap：捕蠅草，被植入「櫻花盛開」的無線設備，負責與 CherryTree C&C 伺服器通信

CherryTree：櫻樹，C&C伺服器

CherryWeb：CherryTree上運行的網頁控制台

Missions：C&C伺服器發送的任務，用於感染無線設備

「櫻花盛開」攻擊方式

「櫻花盛開」工具本質上是一款基於固件的可遠程植入框架，可以利用漏洞獲取未經授權的訪問許可權並載入自定義的櫻花固件，從而入侵路由器和無線接入點（AP）。

然後可以使用植入式設備（Flytrap）來監控目標的互聯網活動並將向目標傳送軟體漏洞利用內容。

通過在無線設備上植入定製的櫻花固件讓無線設備本身受到影響；一些設備允許通過無線鏈接升級固件，因此無需物理訪問設備就能實現成功入侵。

在植入FlyTrap後，路由器會自動向CherryTree發回信息，之後CIA操作人員即可在Web控制台中進行操作並下達任務來對目標進行攻擊。

監控網路流量以收集電子郵件地址，聊天用戶名，MAC地址和VoIP號碼；

將接入受攻擊網路的用戶重定向到惡意網站；

將惡意內容注入數據流，以欺詐手段傳遞惡意軟體並影響加入受攻擊網路的系統；

設置VPN通道，使用戶連接到FlyTrap的WLAN / LAN，進行進一步的利用；

複製目標設備的完整網路流量

安裝指南還提示，CherryTree C＆C伺服器必須位於安全支持設備中，並安裝在至少有4GBRAM、能運行Red Hat Fedora 9的Dell PowerEdge 1850供電虛擬伺服器上。Fedora 9於2008年發布，由此可見，CIA這個「櫻花盛開」項目歷史多麼「悠久」。

根據維基解密曝光的一份用戶手冊，操作人員可以簡單地通過CherryWeb網頁控制台來給被植入設備發送任務來達到目的。

CherryWeb控制台截圖：Mission

Mission種類繁多，包含但不限於以下幾類：

1.監聽目標流量

2.嗅探的流量匹配預定義觸發器（如鏈接=cnn.com，用戶名，電子郵件，MAC地址等）後，執行多種後續操作

3.重定向目標的Internet流量/連接到預設的代理伺服器/釣魚網站

4.目標上線告警

5.內網掃描

我是否中招？

由於曝光的文檔中並沒有發現國產品牌，加上CIA人力所限，絕大部分國內用戶還是可以安心的。

對於使用國外品牌的用戶，可以嘗試通過

https://路由器ip/CherryWeb/

鏈接來查看路由器是否已經遭到入侵。最安全的方法還是等待廠商固件更新後重刷廠商的更新固件。但是，「櫻花盛開」會默認禁止普通的固件更新操作。

「櫻花盛開」項目文檔提及的無線設備品牌部分列表如下：

3Com

Accton

Aironet/Cisco

Allied Telesyn

Ambit

AMIT, Inc

Apple

Asustek Co

Belkin

Breezecom

Cameo

D-Link

Gemtek

Global Sun

Linksys

Motorola

Orinoco

Planet Tec

Senao

US Robotics

Z-Com

欲獲取更多「櫻花盛開」影響的無線設備詳情，可以訪問Wiki Leaks解密文檔的原鏈接查看：

https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devices.pdf

維基解密披露的其他CIA工具

自3月以來，維基解密共披露了11批Vault 7系列工具，除了「櫻花盛開」外，還有如下10個：

Pandemic

——可被CIA利用，將Windows文件伺服器轉換為可以靜默感染目標網路中感興趣的其他計算機的隱蔽攻擊機；1 June, 2017

Athena

– CIA的間諜軟體框架，旨在遠程控制受感染的Windows PC，適用於從Windows XP到Windows 10的每個版本的Microsoft Windows操作系統； 19 May, 2017

AfterMidnight and Assassin

– Microsoft Windows平台的兩個CIA惡意軟體框架，旨在監視和報告受感染的遠程主機上的操作並執行惡意操作；12 May, 2017

Archimedes

– 據稱是CIA創建的一個中間人（MitM）攻擊工具，目標瞄準區域網（LAN）內的計算機；5 May, 2017

Scribbles

– 將「網路信標」嵌入機密文件，可以讓間諜機構跟蹤內部人員和舉報人； 28 April, 2017

Weeping Angel

– CIA的間諜工具，可以滲透智能電視，將電視轉變為隱蔽式麥克風，用於監聽；21 April, 2017

Hive

–後端基礎設施惡意軟體，具有面向公眾的HTTPS介面，可以滲透目標主機信息並傳輸給CIA，同時接收其運營商的命令在目標主機執行目標上的特定任務。

Grasshopper

– 這個框架可讓CIA輕鬆創建自定義惡意軟體，入侵Microsoft Windows並繞過防病毒保護；7 April, 2017

Marble Framework

– 揭露了CIA的秘密反監識框架的源代碼。這個框架本質上是CIA使用的混淆器或封隔器，用於隱藏其惡意軟體的實際來源；31 March, 2017

Dark Matter

–揭露了CIA用於定位iPhone和Mac的利用工具；23 March, 2017

* 本文投稿作者：CYlar，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！

本站內容充實豐富，博大精深，小編精選每日熱門資訊，隨時更新，點擊「搶先收到最新資訊」瀏覽吧！

請您繼續閱讀更多來自 FreeBuf 的精彩文章: