继“棱镜计划”之后攻击路由软件,美国中央情报局近日再次被曝利用黑客工具入侵和监控路由器/AP网络设备。
维基解密网站公布的信息显示,CIA开发了一款专门用于网络监控的名为CherryBlossom的黑客工具,D-link、华硕、思科、苹果等厂商的产品均成为受害者。
据报道,CherryBlossom 是由 CIA 在非营利组织斯坦福研究所(SRI)的协助下开发的。 它主要用于利用目标设备中的漏洞,特别是无线网络设备,包括无线家庭路由器和AP。
上述Wi-Fi广泛部署在家庭、餐厅、酒店、机场等公共场所以及中小企业或大型企业中。 因此,它被认为是发起中间人攻击以监控用户的理想基地。 并控制互联网流量。
维基解密解释称,CherryBlossom 根本不需要与设备直接接触,只有在通过这些网络设备无线升级固件时才能插入。
路由器或AP安装并刷机后攻击路由软件,就变成了所谓的FlyTrap,它会向外部称为CherryTree的C&C服务器发送消息,包括设备状态和重要的用户信息。 后者又将所有收集到的数据编译到数据库中。
最后,CherryTree 将交付定义的任务指令,称为 Mission。 攻击者可以使用Web界面CherryWeb查看FlyTrap的状态、Mission任务执行情况及相关信息,或者进行系统管理工作。
目前已知FlyTrap可能接收的命令任务包括扫描网络流量中的电子邮件、聊天软件用户名、MAC地址、VoIP号码、复制目标对象的所有网络流量以及从浏览器或代理服务器转移流量等。 重定向到攻击者控制的服务器。
此外,FlyTrap还可以与CherryBlossom的VPN服务器建立VPN连接,以便将来操作。 当FlyTrap检测到目标物体时,它也会向CherryTree发送警报消息并发起攻击或其他动作。
