路由器變監控器，維基解密再爆CIA狠料

可能在你眼中，路由器只是身居牆角一隅，默默積塵、垂垂老矣的小玩意。正因如此，它才會備受黑客們的「青睞」。但對於美帝人們來說，覬覦路由器落後的安全性的可不僅僅只有黑客而已，CIA 也在同時「暗中觀察」呢。

上週四，維基解密（WikiLeaks）公佈了一份新的內部文件，其中對 CIA 入侵路由器的工具進行了詳盡的描述。此次公佈的文件是維基解密長達數月的「Vault 7」系列披露文件（從 2017 年 3 月 7 日起，維基解密開始揭露 CIA 在電子監控及網絡信息戰方面的一系列細緻行為與扮演角色，此係列文件統稱「Vault 7」）的最近一次更新。

據維基解密稱，包括 Linksys、D-Link、和 Belkin 在內的 10 個製造商生產的家庭無線網絡路由器都可成為隱祕的情報獲取器，使 CIA 得以監控與操縱往來流量，並對任何連接路由器的電子設備造成影響。

CIA 會在這些路由器內植入一個代號為「CherryBlossom（櫻花）」的定製固件。它會專門破壞 CIA 目標的無線網絡設備，如路由器和接入點等。這些無線網絡設備被經常用於個人家庭、公共場所（酒吧、賓館和機場）、中小型公司及企業辦公室。CherryBlossom 通過改變 Wi-Fi 連接者與網絡間的信息流，使「被感染設備」向所在網絡發送惡意內容，從而使 CIA 得以利用目標電腦操作系統與應用程序的弱點。

(CherryBlossom結構示意圖)

不但如此，因為有些路由器會允許其自身固件通過無線網絡更新，從而使得 CIA 不必通過物理植入也可直接「感染」這些路由器。比如像 D-Link 生產的 DIR-130 款路由器和 Linksys 生產的 WRT300N 款路由器就因其易被遠程感染而「首當其衝」地成為了 CIA 的「最佳背鍋款」。

只要路由器的「通用即插即用（universe plug and play）」的功能保持著「開啟」的默認狀態，CIA 的一款代號為「Tomato（番茄）」的密碼提取器就能套取該設備的管理密碼。對於保留著默認密碼，或者管理密碼十分簡單的路由器來說，想要對抗 Tomato 的密碼套取簡直就是螳臂當車。

據該文件披露，CherryBlossom 可在 25 種不同的路由器模型中運行。但若稍對 CherryBlossom 進行修改調整，它便能在超過 100 種的路由器模型中正常運行。

此番披露中還包括一份名為《CherryBlossom 用戶指南》的文件。該文件足有 175 頁，指出一個基於 Linux 端的操作系統可以在多種路由器上運行。一旦該操作系統安裝在路由器上，CherryBlossom 便會使該路由器變成一個「FlyTrap（捕蠅草）」，接下來，這 FlyTrap 將會主動聯繫一款代號為「CherryTree（櫻樹）」的由 CIA 控制的服務器。

FlyTrap 會把這臺路由器的設備狀態和安全信息發送給 CherryTree，隨後 CherryTree 便會將這些信息記錄在數據庫中。作為迴應，CherryTree 會給已感染的設備發送一則「Mission（使命）」，其中包括針對 CIA 目標而需採取的一系列明確任務。CIA 的操作員可以通過使用一款代號為「CherryWeb（櫻之網）」的基於瀏覽器的用戶界面來檢視 FlyTrap 的狀態與安全信息、制訂新使命、檢視使命相關數據、執行系統管理任務等。

（CherryBlossom 測試結構）

使命的目標可通過任何連接路由器用戶的 IP、電子郵箱地址、MAC 地址、聊天軟件暱稱、網絡語音電話號碼來確認。使命的內容包括：監控目標行為、對目標執行某項操作、以及設定下次發送已感染設備信息的時間等。FlyTrap 的任務包括：複製目標全部或部分流量信息；複製目標所有電子郵箱地址、聊天軟件暱稱、網絡語音電話號碼；改變瀏覽器訪問地址；建立可供本地網絡訪問的虛擬私人網絡連接；以及代理目標全部網絡連接等等。

FlyTrap 還會建立一個 VPN 通道，使其可以連接到 CherryBlossom 所控制的 VPN 服務器，CIA 操控員便可以藉此利用 FlyTrap 的 WLAN 和 LAN 來進行更進一步的監控與操縱。

除複製的網絡數據外，FlyTrap 與 CherryTree 間的通信是完全加密的。為了使其更具隱蔽性，所有已加密的信息都被偽裝成了請求一個圖像文件的瀏覽器 cookie，CherryTree 之後還會向真的向被感染設備發回一個二進制圖像文件，來迷惑那些有「高警惕性」的目標。

十年：黑路由器，我們是認真的

在許多方面，CherryBlossom 並沒有和如同 DNSChanger 之類的其他專黑路由器的惡意程序有甚差別。這些惡意程序在過去的幾年裡已經對成百上千的路由器造成了威脅。使 CIA 這款植入固件不同的，是因為它的功能更加系統全面：它有用戶界面、指令-服務器支持、以及眾多的「使命」等。值得注意的是，維基解密所披露的這組美國官方文件可追溯至 2007 年，當時針對路由器的黑客襲擊也遠沒有現在這麼複雜棘手，可謂「細思極恐」。

CherryBlossom 是維基解密 Vault 7 系列的最新披露的一組信息。據維基解密稱，他們能夠獲取到這組信息的原因，是 CIA 已經對其「黑客兵工廠」失去了絕對控制。CIA 高層拒絕對該系列文件的真實性做出任何迴應。但根據 Vault 7 中連篇累牘的文件和獨特細緻的信息來看，研究者們認為該系列文件的真實性幾乎毋庸置疑。

不但如此，據網絡安全公司 Symantec 的研究者透露，Vault 7 中至少有一組文件與一次多年期全球性的針對多國政府與私有企業的高級黑客攻擊有著絕對關係。儘管維基解密稱 Vault 7 系列文件的披露旨在「喚起一場針對網絡武器的安全、創造、使用、擴散及其『民主控制』的一場公開辯論」，目前卻仍未有任何實質信息顯示 CIA 有任何違反法律的僭越之嫌。

像其他 Vault 7 系列文件一樣，上週四的文件並沒有包含 CIA 黑客行為所使用的源代碼和二進制編碼，也就因此避免了其他黑客個人或組織挪用 CIA 的代碼來襲擊路由器。與維基解密不同，一個名為 Shadow Brokers 的組織曾公佈了數個由美國國家安全局研發的高級黑客工具，有的工具甚至是該組織故意偷竊來的。這些信息的公佈造成了巨大的網絡動盪。

今年四月，一款由美國國家安全局研發，代號為「EternalBlue（永恆之藍）」的工具的洩露導致了 WCry 勒索病毒的爆發。據粗略統計，該病毒已影響了 90 個國家的 72 萬 7 千臺電腦。

但上週四的 Vault 7 系列文件確實提供了一些可被 CIA 目標用於檢測自己的計算機是否已被侵入的指示標誌。一位研究者曾發推特稱，人們現在可以通過指示標誌找到 CIA 所控制的 CherryTree 的服務器，因為它們的默認 URL 都是「CherryWeb」。

面對信息洩露的風險，美國的「技術宅」們卻是有條不紊地應對起來。他們將「疑似感染」的路由器調至「被動模式」，並將其與網絡集線器和受信路由器連接起來。如此，該網絡所接收和發送的數據就都會被顯示出來，這樣他們就能判斷自己的路由器是否已被 CIA 監控了。