【猎云网(微信号:ilieyun)】11月3日报道 (编译:燈桀)
根据维基解密周四发布的秘密文件,来自10个制造商的家庭路由器(包括Linksys,DLink和Belkin)可以变成隐蔽监听站,允许CIA监控和操纵出入站的流量并感染连接的设备。
CherryBlossom(植入物代号),在使用D-Link公司制造的DIR-130和Linksys公司制造的WRT300N模型时,可以很有效地完成任务,因为即使目标使用了强管理密码,它们也可以利用远程感染功能。只要默认通用的功能依然保持开启状态,“Tomato”(植入物代号)就可以提取它们的密码。此外,文件显示,情报机构的监控后门涵盖了10个生产厂家的大约25款设备,并允许植入物至少运行100次。
用户指南描述了一种基于Linux,可以在广泛范围内运行于路由器上的操作系统。一旦安装,CherryBlossom可以将该设备变成一个“FlyTrap”,它会向被外界称为“CherryTree”的CIA控制的服务器传送包括装置状态及重要用户信息等的讯息。作为回应,CherryTree向被感染的设备发送一个“任务”,其中包含针对目标的特定任务。CIA可以使用“CherryWeb”的用户界面查看FlyTrap的状态和安全信息,计划新任务,查看任务相关数据并执行系统管理任务。
Missions可以基于IP、电子邮件地址、MAC地址、聊天用户名和VoIP号码来定位连接的用户。它还可以包括复制部分或所有流量、复制电子邮件地址、聊天用户名和VoIP号码;通过“Windex”这一功能还能重新导向到攻击者控制的服务器,建立允许访问局域网的虚拟专用网络连接以及代理的所有网络连接。
除了复制的网络数据之外,FlyTrap和CIA控制的CherryTree之间的所有通信都进行了加密。对于额外的隐藏,加密的数据伪装成浏览器cookie获取图像文件的请求。然后,CherryTree服务器使用相应的二进制映像文件对请求进行响应。
路由器——十年黑客
在许多方面,CherryBlossom与DNSChanger以及过去几年已经感染成千上万台设备的其他类型的路由器恶意软件没有太大区别。它最大的创新之处是它全套的功能,包括其用户界面,命令服务器支持以及长期的任务列表。同样重要的是:文档可以追溯到2007年,当时路由器的黑客攻击比现在更不发达。
CherryBlossom是维基解密Vault7系列中的最新版本,它使 “CIA失去其大部分黑客武器库的控制权”成为可能。CIA官员拒绝对文件的真实性进行表态,但根据该系列的篇幅和独特的细节,研究人员广泛认同文件确实是CIA内部材料。
此外,安全公司Symantec的研究人员已经将至少一个Vault7版本与一个先进的黑客攻击体系相结合,该体系已经渗透到世界各地的政府和私营企业多年。虽然维基解密表示,Vault7旨在“发起有关安全、创造、使用、扩散和民主控制网络武器的公开辩论”,但迄今为止,几乎没有现象表明CIA违反了它的法定任务。
像其他Vault7版本一样,它不包括允许其他黑客组织适应CIA路由器劫持功能的源代码或二进制文件。这使得漏洞的损害明显小于Shadow Brokers(这是一个尚未公布的组织所使用的名称,该组织已经发布了一批先进的黑客工具)。NSA在4月份发布的EternalBlue(工具代号),导致WCry在90个国家感染了大约72.7万台电脑。
星期四发布的Vault7版本提供了所谓的妥协指标,可以用来确定目标是否被黑客入侵。研究人员指出,Vault7可能会让人们识别CIA控制的CherryTree服务器,因为它们似乎在默认URL中使用了“CherryWeb”。
一般防御措施更倾向于对用户可视的路由器恶意软件进行操作,将有问题的路由器转化为被动模式,并将其连接到网络集线器和可信的路由器上。这允许人们看到进出网络的所有流量。