繼棱鏡計劃之后，美國CIA近日再次被曝光使用黑客工具對路由器/AP網絡設備進行入侵和監聽。

維基解密網站發布信息顯示，CIA專門為監控網絡而開發了名為CherryBlossom的黑客工具，包括D-link、華碩、思科、蘋果等廠商產品均成為受害對象。

據介紹，CherryBlossom是CIA在非營利組織史丹佛研究院（SRI）協助下開發完成的，主要用來開采目標裝置的漏洞，尤其是無線連網設備，包括無線家用路由器及AP等。

上述這類Wi-Fi廣泛部署于家中、餐廳、旅館或機場等公共場合、中小企業或大型企業，因而被當成發動中間人攻擊（man-in-the-middle）的理想據點，用以監控使用者及操控連網流量。

維基解密解釋稱，CherryBlossom根本不用直接接觸到設備，只需要通過這些網路設備無線升級固件時即可置入。

安裝并完成刷機后的路由器或AP就成了所謂的FlyTrap，會向外部稱為CherryTree的C&C服務器傳送訊息，包括裝置狀態及重要用戶信息等。后者進而會將所有收集到的數據匯集成資料庫。

最終，CherryTree會傳送定義好的任務指令，稱為Mission。攻擊者可使用Web介面CherryWeb來查看FlyTrap的狀態、Mission任務執行情況及相關資訊，或是執行系統管理的工作。

目前已知，FlyTrap可能接獲的指令任務包括掃瞄網路流量中的電子郵件、聊天軟體用戶名稱、MAC Address、VoIP號碼、復制目標對象的所有網路流量、將瀏覽器或代理服務器的流量重新導向到攻擊者控制的服務器。

此外，FlyTrap還能和CherryBlossom的VPN服務器建立VPN連接，以進行日后行動。當FlyTrap偵測到目標對象時，還會傳送告警訊息給CherryTree，并啟動攻擊或其他行動。