维基解密目前已经发布由美国非盈利组织斯坦福大学研究所协助美国中央情报局开发和实施的路由攻击文档。
这个名为CherryBlossom的项目可以攻击路由器以便在路由器直接实施监控甚至是操纵或者篡改用户的流量。
如果受攻击的路由器部署在公共场合并且使用开放网络连接,那么 CIA 则可以直接监控该路由器下所有设备。
如何攻击和工作:
和我们常见的针对路由器的物联网病毒不同的是,该项目是通过某些特殊手段将病毒直接加载到路由固件中。
这意味着 CIA 是在路由器的生产过程中将病毒植入而不是依靠漏洞,显然这种做法的效率要比依靠漏洞更高。
当含有病毒的路由器连接网际网络后将成为所谓的FlyTrap,FlyTrap将会连接命令和远程服务器ChreeyTree。
同时该组件还会将路由器的设备状态和安全信息发送到服务器, 服务器根据操纵者的需要进行自定义任务等。
监视哪些内容?
当路由器感染病毒后会根据操纵者的需求下发任务,例如扫描邮件地址、通讯工具用户ID及设备MAC地址等。
同时其功能还包括完整复制存储用户的网络流量、 将用户访问的网址进行重定向或使用Target代理网络连接。
除此之外该病毒还可以使用与CIA有关的VPN供应商提供的VPN将用户的所有流量转到 VPN网络中以便分析。
针对特定的目标?
该病毒中的组件还会主动检测预设的目标,FlyTrap检测到预设目标后会直接向 CherryTree 发送警报来提醒。
操纵者则可在收到FlyTrap警告后立即下发特定任务来完成需求,因此这看起来像是针对特定目标的监视任务。
哪些路由器被植入木马?
从维基解密发布的文件来看全球多个品牌的多款路由器都感染木马, 包括诸如思科、华硕以及 D-Link 等等。
完整名单如下:
3COM、台湾智邦、Allied Telesyn、Ambit、华硕、Belkin、Breezecom、Cameo、D-link、Gemtek、Global Sun、Linksys、摩托罗拉、Orinoco、Planet Tec、Senao、USRobotics、Z-Com