回归最本质的信息安全

CIA曾经做过一套黑客工具,可以破解数百款品牌路由器

2017年6月17日发布

9,505
2
1

停顿两周后,维基解密又继续披露了CIA(美国中央情报局) Vault 7系列文件里的新文档。

Vault 7系列文件是CIA制造的黑客工具,今天披露是里边一套针对数百款家庭路由器开发的攻击框架,名为CherryBlossom(樱花盛放)。

CherryBlossom是CIA内部最复杂的恶意攻击框架之一,它可以让攻击者接管受害者的家庭路由器网络,并进行控制。

劫持固件更新

CherryBlossom最复杂的组件,是远程部署到受害者路由器上的部分。这部分可以直接现场操作,或者利用漏洞远程执行,让攻击者在目标路由器上安装新的固件。

CherryBlossom内部由多个组件构成,每个组件功能明确:

FlyTrap:在受控设备上进行标示(固件已感染)
CherryTree:FlyTrap回传报告的交互控制组件
CherryWeb:在CherryTree上运行的Web管理面板
Mission:C&C服务器感染设备时发送的一组任务

CherryBlossom-architecture.png

据CherryBlossom手册记录,攻击者通过CherryWeb面板控制CherryTree C&C服务器,向被感染路由发送任务(Mission)。

不同任务(Mission)类型差别很大,这可能因为这套工具有着丰富的功能。比如:

窃取目标的上网流量
嗅探目标的上网流量,并根据预先设置的条件(URL、用户名、邮件、MAC地址等)执行各种操作
重定向目标的上网流量
创建一个基于目标网络的VPN
当目标上网时提醒攻击者
扫描目标的内部网络

支持超过200种路由器型号

CIA文件显示,FlyTraps可以安装在无线路由器和接入点设备上。有一份文档,专门列出了CherryBlossom支持攻击的200多种路由器型号,其中大部分都是旧型号。这份长达24页的文档没有标注日期,其它的CherryBlossom文档主要在2006年至2012年之间。

文末将列出所有受影响路由器的品牌,想进一步了解它们的具体型号,请参考维基解密的文档

CherryBlossom.png

法国安全研究员X0rz发现一个小细节,可以帮助大家追踪CherryBlossom的部署情况。在这套工具的安装指南里,CherryWeb控制面板的默认URL为“https://CherryTree-ip-address/CherryWeb/”(例如“https://10.10.10.10/CherryWeb/”),用这个特征扫描全网,可以统计出目前在线仍受CherryBlossom控制的路由器。

美国非营利组织参与开发?

维基解密声称,CIA与一家名为斯坦福研究所的非营利组织共同开发的CherryBlossom。不过斯坦福研究所的名字只出现在一份名为Sundew的文档里,Sundew是Linux平台的无线扫描仪工具,用于识别路由品牌和型号。目前尚不清楚斯坦福研究所是躺枪了,还是真的有参与其中。

在此之前,美国安全公司Siege Technologies曾经帮助CIA开发了恶意木马框架Athena。

最近大半年里,维基解密总共披露了近十套CIA黑客工具,里边有:

Weeping Angel:专门破解三星智能电视
Fine Dining:伪造系列恶意软件集合
Grasshopper:Windows恶意木马制造工具
DarkSeaSkies:针对iPhone和Mac的攻击工具
Scribble:Office文档的信标工具
Archimedes:中间人攻击工具
AfterMidnight和Assassin:Windows木马框架
Athena:和美国公司共同开发的木马框架
Pandemic:把原文件替换为木马的工具

附:CherryBlossom文档里记录的受影响路由器品牌

3Com

Accton

Aironet/Cisco

Allied Telesyn

Ambit

AMIT, Inc

Apple

Asustek Co

Belkin

Breezecom

Cameo

D-Link

Gemtek

Global Sun

Linksys

Motorola

Orinoco

Planet Tec

Senao

US Robotics

Z-Com

本文翻译自https://www.bleepingcomputer.com/news/security/cia-created-toolkit-for-hacking-hundreds-of-routers-models/,如若转载,请注明原文地址: http://www.4hou.com/info/news/5523.html

点赞 1
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

longye

longye

嘶吼编辑

发私信

发表评论

    天海 春香
    天海 春香 2017-06-19 11:43

    这工具挺不错的…不过感觉影响力还是有限…华三呢!

    longye
    longye 2017-06-19 09:25

    把这个项目看一遍,以后可以在简历上写:精通路由器入侵