CIA Vault7最新泄露文档:樱花盛开

多份维基解密于2017年6月15日披露的文件显示,CIA早在2006年便开始了一项名为“樱花盛开”(Cherry Blossom)的项目。曝光的文档资料详实,图文并茂,长达数百页。

“樱花盛开”项目通过黑掉多达200种的无线设备(路由器或AP),进而对连接在路由器后的用户终端进行各种基于网络的攻击。根据维基解密曝光一份2012年的设备列表文档,其中常见品牌有思科、苹果、D-link、Linksys、3Com、Belkin等。暂时没有发现国产品牌。

据称,“樱花盛开工具”是CIA在美国非盈利研究机构斯坦福研究所(SRI International)的帮助下设计的,是CIA“樱桃炸弹”项目的一部分。而SRI目前尚未对此表态。

“樱花盛开”架构

根据曝光的文档,我们可以看到“樱花盛开”的架构如下:

红字所列为“樱花盛开”系统组件,主要部分描述如下:

FlyTrap:捕蝇草,被植入“樱花盛开”的无线设备,负责与 CherryTree C&C 服务器通信 CherryTree:樱树,C&C服务器 CherryWeb:CherryTree上运行的网页控制台 Missions:C&C服务器发送的任务,用于感染无线设备

“樱花盛开”攻击方式

“樱花盛开”工具本质上是一款基于固件的可远程植入框架,可以利用漏洞获取未经授权的访问权限并加载自定义的樱花固件,从而入侵路由器和无线接入点(AP)。

然后可以使用植入式设备(Flytrap)来监控目标的互联网活动并将向目标传送软件漏洞利用内容。

通过在无线设备上植入定制的樱花固件让无线设备本身受到影响;一些设备允许通过无线链接升级固件,因此无需物理访问设备就能实现成功入侵。

在植入FlyTrap后,路由器会自动向CherryTree发回信息,之后CIA操作人员即可在Web控制台中进行操作并下达任务来对目标进行攻击。

监控网络流量以收集电子邮件地址,聊天用户名,MAC地址和VoIP号码; 将接入受攻击网络的用户重定向到恶意网站; 将恶意内容注入数据流,以欺诈手段传递恶意软件并影响加入受攻击网络的系统; 设置VPN通道,使用户连接到FlyTrap的WLAN / LAN,进行进一步的利用; 复制目标设备的完整网络流量

安装指南还提示,CherryTree C&C服务器必须位于安全支持设备中,并安装在至少有4GBRAM、能运行Red Hat Fedora 9的Dell PowerEdge 1850供电虚拟服务器上。Fedora 9于2008年发布,由此可见,CIA这个“樱花盛开”项目历史多么“悠久”。

根据维基解密曝光的一份用户手册,操作人员可以简单地通过CherryWeb网页控制台来给被植入设备发送任务来达到目的。

CherryWeb控制台截图:Mission

Mission种类繁多,包含但不限于以下几类:

1.监听目标流量 2.嗅探的流量匹配预定义触发器(如链接=cnn.com,用户名,电子邮件,MAC地址等)后,执行多种后续操作 3.重定向目标的Internet流量/连接到预设的代理服务器/钓鱼网站 4.目标上线告警 5.内网扫描

我是否中招?

由于曝光的文档中并没有发现国产品牌,加上CIA人力所限,绝大部分国内用户还是可以安心的。

对于使用国外品牌的用户,可以尝试通过 https://路由器ip/CherryWeb/ 链接来查看路由器是否已经遭到入侵。最安全的方法还是等待厂商固件更新后重刷厂商的更新固件。但是,“樱花盛开”会默认禁止普通的固件更新操作。

“樱花盛开”项目文档提及的无线设备品牌部分列表如下:

3Com Accton Aironet/Cisco Allied Telesyn Ambit AMIT, Inc Apple Asustek Co Belkin Breezecom Cameo D-Link Gemtek Global Sun Linksys Motorola Orinoco Planet Tec Senao US Robotics Z-Com

欲获取更多“樱花盛开”影响的无线设备详情,可以访问Wiki Leaks解密文档的原链接查看:https://wikileaks.org/vault7/document/WiFi_Devices/WiFi_Devices.pdf

维基解密披露的其他CIA工具

自3月以来,维基解密共披露了11批Vault 7系列工具,除了“樱花盛开”外,还有如下10个:

Pandemic——可被CIA利用,将Windows文件服务器转换为可以静默感染目标网络中感兴趣的其他计算机的隐蔽攻击机;1 June, 2017 Athena – CIA的间谍软件框架,旨在远程控制受感染的Windows PC,适用于从Windows XP到Windows 10的每个版本的Microsoft Windows操作系统; 19 May, 2017 AfterMidnight and Assassin – Microsoft Windows平台的两个CIA恶意软件框架,旨在监视和报告受感染的远程主机上的操作并执行恶意操作;12 May, 2017 Archimedes – 据称是CIA创建的一个中间人(MitM)攻击工具,目标瞄准局域网(LAN)内的计算机;5 May, 2017 Scribbles – 将“网络信标”嵌入机密文件,可以让间谍机构跟踪内部人员和举报人; 28 April, 2017 Weeping Angel – CIA的间谍工具,可以渗透智能电视,将电视转变为隐蔽式麦克风,用于监听;21 April, 2017 Hive –后端基础设施恶意软件,具有面向公众的HTTPS接口,可以渗透目标主机信息并传输给CIA,同时接收其运营商的命令在目标主机执行目标上的特定任务。 Grasshopper – 这个框架可让CIA轻松创建自定义恶意软件,入侵Microsoft Windows并绕过防病毒保护;7 April, 2017 Marble Framework– 揭露了CIA的秘密反监识框架的源代码。这个框架本质上是CIA使用的混淆器或封隔器,用于隐藏其恶意软件的实际来源;31 March, 2017 Dark Matter –揭露了CIA用于定位iPhone和Mac的利用工具;23 March, 2017

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-06-16

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏小俊博客

冰岛史上最大网络攻击行动:黑客冒充警方欺诈民众

这一攻击行动始于今年10月6日,黑客以所入侵的帐号注册了www.logregian.is网域名称,与冰岛警方的官网www.logreglan.is只差了一个字母...

13030
来自专栏程序员互动联盟

【答疑释惑】Makefile是什么,Windows下面如何编写?

1 问题 ? 解答: ? 点评:Windows下用微软的VS是不需要自己编写Makefile的,但是如果使用Cygwin之类的编译环境,还是需要自己编写Mak...

37390
来自专栏FreeBuf

新型恶意软件“Bad Rabbit”闪击东欧(IOCs见原文)

近日,一种新型的恶意软件“Bad Rabbit”在东欧国家引起了一阵不小的骚乱,很多政府和商业机构都受到了冲击。撰写本文时,“Bad Rabbit”已经蔓延到了...

25850
来自专栏黑白安全

前 CIA 情报官员被怀疑将 CIA 代码上传到个人网站

据外媒Motherboard报道,此前前美国中央情报局(CIA)情报官员Joshua Schulte被怀疑将机密信息泄露给维基解密。近日 Schulte被怀疑将...

7820
来自专栏黑白安全

WiFi联盟宣布WPA3协议已最终完成 安全性增加

WiFi联盟(Wi-Fi Alliance)周一宣布WPA3协议已最终完成,这是WiFi连接的新标准。

6520
来自专栏DHUtoBUAA

通过ODBC接口访问人大金仓数据库

  国产化软件和国产化芯片的窘境一样,一方面市场已经存在性能优越的同类软件,成本很低,但小众的国产化软件不仅需要高价买入版权,并且软件开发维护成本高;另一方面,...

24100
来自专栏FreeBuf

WannaMine再升级,摇身一变成为军火商?

WannaMine是个“无文件”僵尸网络,在入侵过程中无任何文件落地,仅仅依靠WMI类属性存储ShellCode,并通过“永恒之蓝”漏洞攻击武器以及“Mimik...

20100
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-8 F-31付款退款–手动

4.9 F-31付款退款 – 手动 您可手动或自动过帐付款(付款程序 SAPF110 – 参见上一步)。 手动过帐过程如下所述。特别是在手动付款或手动分步过帐帐...

41340
来自专栏FreeBuf

乌克兰电网攻击第二季

一波未平,一波又起。2015年12月23日发生的由木马攻击引起的乌克兰电网电力中断,这是首次由恶意软件攻击导致国家基础设施瘫痪的事件,致使乌克兰城市伊万诺弗兰科...

21250
来自专栏信安之路

APT-RAT(Poison ivy ) 攻击模拟及监测口令提取

APT:高级持续性威胁,APT 攻击主要是指针对特定组织、特定领域或个人进行的蓄谋已久的攻击。如:针对一个国家的基础设施的破坏,针对国防、航空航天、医疗、军民融...

21800

扫码关注云+社区

领取腾讯云代金券