停顿两周后，维基解密又继续披露了CIA（美国中央情报局） Vault 7系列文件里的新文档。

Vault 7系列文件是CIA制造的黑客工具，今天披露是里边一套针对数百款家庭路由器开发的攻击框架，名为CherryBlossom（樱花盛放）。

CherryBlossom是CIA内部最复杂的恶意攻击框架之一，它可以让攻击者接管受害者的家庭路由器网络，并进行控制。

劫持固件更新

CherryBlossom最复杂的组件，是远程部署到受害者路由器上的部分。这部分可以直接现场操作，或者利用漏洞远程执行，让攻击者在目标路由器上安装新的固件。

CherryBlossom内部由多个组件构成，每个组件功能明确：

FlyTrap：在受控设备上进行标示（固件已感染）
CherryTree：FlyTrap回传报告的交互控制组件
CherryWeb：在CherryTree上运行的Web管理面板
Mission：C&C服务器感染设备时发送的一组任务

据CherryBlossom手册记录，攻击者通过CherryWeb面板控制CherryTree C&C服务器，向被感染路由发送任务（Mission）。

不同任务（Mission）类型差别很大，这可能因为这套工具有着丰富的功能。比如：

窃取目标的上网流量
嗅探目标的上网流量，并根据预先设置的条件（URL、用户名、邮件、MAC地址等）执行各种操作
重定向目标的上网流量
创建一个基于目标网络的VPN
当目标上网时提醒攻击者
扫描目标的内部网络

支持超过200种路由器型号

CIA文件显示，FlyTraps可以安装在无线路由器和接入点设备上。有一份文档，专门列出了CherryBlossom支持攻击的200多种路由器型号，其中大部分都是旧型号。这份长达24页的文档没有标注日期，其它的CherryBlossom文档主要在2006年至2012年之间。

文末将列出所有受影响路由器的品牌，想进一步了解它们的具体型号，请参考维基解密的文档。

法国安全研究员X0rz发现一个小细节，可以帮助大家追踪CherryBlossom的部署情况。在这套工具的安装指南里，CherryWeb控制面板的默认URL为“https://CherryTree-ip-address/CherryWeb/”（例如“https://10.10.10.10/CherryWeb/”），用这个特征扫描全网，可以统计出目前在线仍受CherryBlossom控制的路由器。

美国非营利组织参与开发？

维基解密声称，CIA与一家名为斯坦福研究所的非营利组织共同开发的CherryBlossom。不过斯坦福研究所的名字只出现在一份名为Sundew的文档里，Sundew是Linux平台的无线扫描仪工具，用于识别路由品牌和型号。目前尚不清楚斯坦福研究所是躺枪了，还是真的有参与其中。

在此之前，美国安全公司Siege Technologies曾经帮助CIA开发了恶意木马框架Athena。

最近大半年里，维基解密总共披露了近十套CIA黑客工具，里边有：

Weeping Angel：专门破解三星智能电视
Fine Dining：伪造系列恶意软件集合
Grasshopper：Windows恶意木马制造工具
DarkSeaSkies：针对iPhone和Mac的攻击工具
Scribble：Office文档的信标工具
Archimedes：中间人攻击工具
AfterMidnight和Assassin：Windows木马框架
Athena：和美国公司共同开发的木马框架
Pandemic：把原文件替换为木马的工具

附：CherryBlossom文档里记录的受影响路由器品牌

3Com

Accton

Aironet/Cisco

Allied Telesyn

Ambit

AMIT, Inc

Apple

Asustek Co

Belkin

Breezecom

Cameo

D-Link

Gemtek

Global Sun

Linksys

Motorola

Orinoco

Planet Tec

Senao

US Robotics

Z-Com