更多全球網絡安全資訊盡在E安全官網www.easyaq.com
E安全6月17日訊 維基解密洩露一批Vault 7新文檔,詳細介紹了CIA網絡間諜用來入侵Wi-Fi設備的「櫻花」(Cherry Blossom,以下簡稱CB)框架。
CB是一款針對無線網絡設備的遠程可控固件植入框架,通過觸發漏洞獲取非授權訪問,並加載定製CB固件,從而攻擊路由器和無線接入點(AP),可用來入侵數百種家用路由器。
該框架由CIA在「櫻花炸彈」( Cherry Bomb)項目下開發,其開發過程得到斯坦福研究所(SRI International)的專家幫助。
CB框架由以下四個主要組件構成:
FlyTrap :在被攻擊設備(與 CherryTree C&C伺服器通信)上運行的信標(被攻擊固件)。
CherryTree :與FlyTrap通信的C&C伺服器。
CherryWeb :在CherryTree上運行的、基於Web的管理面板。
Mission:C&C伺服器向被感染設備發送的一系列任務。
Cherry Blossom架構
目標設備一經遠程感染,CB會用自己的固件替換現有固件,允許攻擊者將路由器或接入點變成所謂的「FlyTrap」。FlyTrap能掃描監控電子郵箱、聊天用戶名、MAC地址和VoIP網絡電話號碼。
一旦新固件在設備上出現,路由器或接入點將變成FlyTrap。FlyTrap將通過網際網路向C&C伺服器「CherryTree」發送信標。信標發送信息包括設備狀態和CherryTree登錄到資料庫的安全信息。為了響應這類信息,CherryTree會通過操作員的任務派遣發送任務。操作員可以使用CherryWeb查看Flytrap狀態和安全信息、規劃任務執行、查看與任務相關的數據,並執行系統管理任務。
FlyTrap診斷數據
此外,由於WiFi設備在家庭、公共場所和辦公室極為常見,而CB項目能輕易監控、控制並操縱聯網用戶的網際網路流量,因此CIA可以對目標展開中間人攻擊。從而竊聽並操縱聯網設備的網際網路流量。
維基解密表示,在無線設備上植入定製的CB固件就能對其實施攻擊。某些設備允許通過無線連結升級固件,因此,無需物理訪問就能成功感染設備。
洩露的文檔顯示,CherryTree C&C伺服器必須位於安全設施內,並部署在戴爾PowerEdge 1850虛擬伺服器上(該伺服器至少需要4GB的RAM,並且運行Red Hat Fedora 9)。
這批文檔包括CB可以攻擊的200多個路由器型號列表。專家注意到,大多數路由器為多個廠商的老舊型號,這些廠商包括:Belkin、 D-Link、Linksys、Aironet/Cisco、Apple AirPort Express、Allied Telesyn、Ambit、AMIT Inc、Accton、3Com、Asustek Co、 Breezecom、 Cameo、Epigram、Gemtek、Global Sun、Hsing Tech、Orinoco、PLANET Technology、 RPT Int、 Senao、US Robotics 和Z-Com.
Cherry Blossom的目標活動總覽
下面是E安全整理的維基解密自3月以來披露發布的CIA工具:
Cherry Blossom (「櫻花」,攻擊無線設備的框架);
Pandemic(「流行病」,文件伺服器轉換為惡意軟體感染源);
Athena(「雅典娜」,惡意間諜軟體,能威脅所有Windows版本);
AfterMidnight (「午夜之後」,Winodws平臺上的惡意軟體框架);
Archimedes(「阿基米德」,中間人攻擊工具) ;
Scribbles(CIA追蹤涉嫌告密者的程序);
Weeping Angel (「哭泣天使」,將智能電視的麥克風轉變為監控工具);
Hive (「蜂巢」,多平臺入侵植入和管理控制工具);
Grasshopper(「蝗蟲」,針對Windows系統的一個高度可配置木馬遠控植入工具);
Marble Framework (「大理石框架」,用來對黑客軟體的開發代碼進行混淆處理、防止被歸因調查取證);
Dark Matter(「暗物質」,CIA入侵蘋果Mac和iOS設備的技術與工具)
受Cherry Blossom影響的設備及其廠商列表查看地址:
http://t.cn/RoPJDW2
維基解密Vault 7 文件地址(包括Cherry Blossom):
http://t.cn/RoPi7UA
現在,Winodws、Mac、智慧型手機、智能電視和路由器都被CIA的網絡武器攻佔,試問我們日常所使用的電子設備還有什麼是安全的?!