維基解密泄露一批Vault 7新文檔，詳細介紹了CIA網絡間諜用來入侵Wi-Fi設備的“櫻花”(Cherry Blossom，以下簡稱CB)框架。

CIA用“櫻花炸彈”入侵我們的路由器-E安全

CB框架

CB是一款針對無線網絡設備的遠程可控固件植入框架，通過觸發漏洞獲取非授權訪問，并加載定制CB固件，從而攻擊路由器和無線接入點(AP)，可用來入侵數百種家用路由器。

CIA用“櫻花炸彈”入侵我們的路由器-E安全

該框架由CIA在“櫻花炸彈”( Cherry Bomb)項目下開發，其開發過程得到斯坦福研究所(SRI International)的專家幫助。CB框架由以下四個主要組件構成：

FlyTrap ：在被攻擊設備(與 CherryTree C&C服務器通信)上運行的信標(被攻擊固件)。

CherryTree ：與FlyTrap通信的C&C服務器。

CherryWeb ：在CherryTree上運行的、基于Web的管理面板。

Mission ：C&C服務器向被感染設備發送的一系列任務。

CIA用“櫻花炸彈”入侵我們的路由器-E安全

Cherry Blossom架構

入侵過程

目標設備一經遠程感染，CB會用自己的固件替換現有固件，允許攻擊者將路由器或接入點變成所謂的“FlyTrap”。FlyTrap能掃描監控電子郵箱、聊天用戶名、MAC地址和VoIP網絡電話號碼。

一旦新固件在設備上出現，路由器或接入點將變成FlyTrap。FlyTrap將通過互聯網向C&C服務器“CherryTree”發送信標。信標發送信息包括設備狀態和CherryTree登錄到數據庫的安全信息。為了響應這類信息，CherryTree會通過操作員的任務派遣發送任務。操作員可以使用CherryWeb查看Flytrap狀態和安全信息、規劃任務執行、查看與任務相關的數據，并執行系統管理任務。

CIA用“櫻花炸彈”入侵我們的路由器-E安全

CIA用“櫻花炸彈”入侵我們的路由器-E安全FlyTrap診斷數據

此外，由于WiFi設備在家庭、公共場所和辦公室極為常見，而CB項目能輕易監控、控制并操縱聯網用戶的互聯網流量，因此CIA可以對目標展開中間人攻擊。從而竊聽并操縱聯網設備的互聯網流量。

將用戶劫持到惡意網站。

將惡意內容注入至數據流量，以傳送惡意軟件。

設置VPN隧道，訪問連接到Flytrap WLAN/LAN的客戶端，以便進一步利用。

入侵要求

維基解密表示，在無線設備上植入定制的CB固件就能對其實施攻擊。某些設備允許通過無線鏈接升級固件，因此，無需物理訪問就能成功感染設備。

泄露的文檔顯示，CherryTree C&C服務器必須位于安全設施內，并部署在戴爾PowerEdge 1850虛擬服務器上(該服務器至少需要4GB的RAM，并且運行Red Hat Fedora 9)。

200多個路由器型號受影響

這批文檔包括CB可以攻擊的200多個路由器型號列表。專家注意到，大多數路由器為多個廠商的老舊型號，這些廠商包括：

Belkin、 D-Link、Linksys、Aironet/Cisco、Apple AirPort Express、Allied Telesyn、Ambit、AMIT Inc、Accton、3Com、Asustek Co、 Breezecom、 Cameo、Epigram、Gemtek、Global Sun、Hsing Tech、Orinoco、PLANET Technology、 RPT Int、 Senao、US Robotics 和Z-Com......

CIA用“櫻花炸彈”入侵我們的路由器-E安全

Cherry Blossom的目標活動總覽

維基解密自三月以來公開的CIA工具

下面是E安全整理的維基解密自3月以來披露發布的CIA工具：

Cherry Blossom (“櫻花”，攻擊無線設備的框架);

Pandemic(“流行病”，文件服務器轉換為惡意軟件感染源);

Athena(“雅典娜”，惡意間諜軟件，能威脅所有Windows版本);

AfterMidnight (“午夜之后”，Winodws平臺上的惡意軟件框架);

Archimedes(“阿基米德”，中間人攻擊工具) ;

Scribbles(CIA追蹤涉嫌告密者的程序);

Weeping Angel (“哭泣天使”，將智能電視的麥克風轉變為監控工具);

Hive (“蜂巢”，多平臺入侵植入和管理控制工具);

Grasshopper(“蝗蟲”，針對Windows系統的一個高度可配置木馬遠控植入工具);

Marble Framework (“大理石框架”，用來對黑客軟件的開發代碼進行混淆處理、防止被歸因調查取證);

Dark Matter(“暗物質”，CIA入侵蘋果Mac和iOS設備的技術與工具)

受影響的廠商及維基解密公開的文件地址

受Cherry Blossom影響的設備及其廠商列表查看地址：

http://t.cn/RoPJDW2

維基解密Vault 7 文件地址(包括Cherry Blossom)：

http://t.cn/RoPi7UA

現在，Winodws、Mac、智能手機、智能電視和路由器都被CIA的網絡武器攻占，試問我們日常所使用的電子設備還有什么是安全的?!