新闻中心

当前位置: 首页 > 新闻中心 > 新闻中心
美国中情局监控家用路由器?维基解密再爆猛料!
发表时间:2017-06-23     浏览次数:2237     来源:

        上周四(6月15日),维基解密(WikiLeaks)发布了一批属于Vault 7的文档,其中对CIA(美国中情局)入侵路由器的工具进行了详尽的描述。为了能够监控网络流量,CIA早在2006年左右就开发出一个名为“CherryBlossom”的攻击工具,包括D-link、华硕、思科、苹果等知名品牌在内的二十多个厂家的服务器都在受害名单之列。
 
何为CherryBlossom
 
        樱花虽美,但“CherryBlossom”可不美! 
        CherryBlossom是CIA在非营利组织斯坦福研究院(SRI)协助下开发出来、用以执行目标设备的漏洞挖掘,尤其是那些无线连网设备,包括无线路由器及AP(接入点)等。这些无线网络设备广泛部署于家庭、公共场合(餐厅、旅馆或机场等)、中小企业或大型企业,通过感染CherryBlossom而成为隐秘的情报获取器,使CIA得以监控使用者和操控网络流量。 
        据维基解密称:在目标设备上植入CherryBlossom有很多方法,如Claymore,此外,也可以通过目标设备的固件升级功能来实现植入。有些路由器会允许其自身固件通过无线网络更新,从而使得CIA不必通过物理植入也可以直接感染这些路由器。
 
CherryBlossom攻击过程
 
CherryBlossom主要由以下四个部分组成:
        Flytrap:CherryBlossom的主要组成部件,运行在受感染的设备上,与CherryTree C&C服务器通信。
        CherryTree:在C&C服务器上与Flytrap通信。
        CherryWeb:在CherryTree上运行的基于Web的管理页面
        Mission:由C&C服务器发送到感染设备的任务指令。
 
        安装并完成刷机后的路由器或AP就成了所谓的Flytrap,会向外部称为CherryTree 的C&C服务器发送数据,包括设备状态和重要用户数据等,CherryTree将这些信息记录在数据库中。作为回应,CherryTree将会传送一组定义好的任务指令Mission。攻击者使用Web界面CherryWeb来查看Flytrap的状态、Mission的执行情况及相关信息或执行其他系统管理任务等。
 
Flytrap一般执行以下恶意任务:
        监控网络流量,收集感兴趣的数据,如电子邮件地址、VoIP号码、聊天软件用户名等;
        复制目标服务器的所有网络流量;
        重定向浏览器或代理受害者的网络连接,劫持用户到恶意网站等;
        将恶意内容注入到数据流量以传递恶意软件;
        设置VPN隧道,以进行后续的攻击行动;
        执行其他应用程序等。
        此外,当Flytrap侦测到目标对象时,还会传送告警信息给CherryTree,以启动攻击或进行其他行动。

图:CherryBlossom攻击过程
 

为何又是路由器
 
        维基解密公布的文档列举了超过20个厂商的200多个设备型号,它们大多是来自不同供应商的旧型号,包括3Com, Accton, Cisco, Ambit, AMIT, Asus, Apple, Breezecom, D-Link, Gemtek, Global Sun, Linksys, Orinoco, Planet Tec, Senao, US Robotics and Z-Com等。 
        在今年2月份,我们曾对篡改路由器DNS设置的恶意软件DNSChanger进行过分析,给出过几种防护建议,包括将路由器的默认密码修改得更为强力等。而本次针对CherryBlossom的披露文档表明,在许多方面,CherryBlossom 并没有和DNSChanger 之类的专黑路由器的恶意程序差别甚大。这些恶意程序在过去的几年里已经对成百上千的路由器造成了威胁。无论攻击者是是谁、出于何种目的,不能再对路由器的防护手段漠不关心了,可能一些简单的手段就可以将路由器的安全提升几个Level,比如将路由器的「通用即插即用(universe plug and play)」的功能由默认的开启状态转为关闭等。