CherryBlossom hedefler üzerinde yazılım istismarlarının gerçekleştirilmesi ve İnternet etkinliğinin izlenmesini sağlayan bir araçtır. CherryBlossom bu hedeflere ulaşmak için özellikle kablosuz yönlendiriciler ve erişim noktaları gibi kablosuz ağ aygıtlarını istismar etmeye odaklanmıştır. Bu tür Wi-Fi cihazları genellikle evlerde, kamusal alanlarda (barlar, oteller veya havaalanları), küçük ve orta ölçekli şirketlerde ve kurumsal ofislerde internet altyapısının bir parçası olarak kullanılır.
Buradaki nihai amaç; kablosuz cihazlara bağlı kullanıcıların internet trafiğini kolayca izleyebilmek, kontrol edebilmek ve manipüle edebilmek için “Ortadaki Adam” saldırıları için bir zemin oluşturmaktır. Kullanıcı ve internet hizmetleri arasındaki veri akışını değiştirerek etkilenen cihazlar ve hedeflenen kullanıcının bilgisayarındaki uygulamalardaki veya işletim sistemindeki güvenlik açıklarından yararlanmak için akışa zararlı yazılım enjekte edilebilmektedir.
CyberThink tarafından hazırlanan rapora göre kablosuz aygıt üzerine özelleştirilmiş bir CherryBlossom ürün yazılımına yerleştirilerek çalıştırılır. Birçok cihaz firmware’in kablosuz bir bağlantı üzerinden güncellenmesine izin verir. Bu nedenle başarılı bir implementasyon için cihaza fiziksel erişim gerekmez.
Cihaza yeni üretici yazılımı yüklendiğinde, yönlendirici veya erişim noktası bir FlyTrap (tuzak noktası) oluşturur. Oluşturulan bu FlyTrap, İnternet üzerinden CherryTree olarak adlandırılan bir Komuta ve Kontrol sunucusuna bağlantı oluşturur. Cihaza ait bilgiler CherryTree’nin bir veritabanına kaydettiği cihaz durumu ve güvenlik bilgilerini içerir. Bu bilgilere ek olarak CherryTree operatör tanımlı bir görev oluşturur. Operatörler, FlyTrap durumunu ve güvenlik bilgilerini görüntülemek, görevi planlamak, görevle ilgili verileri görüntülemek ve sistem yönetimi görevlerini gerçekleştirmek için tarayıcı tabanlı bir kullanıcı arayüzü olan CherryWeb’i kullanır.
Görevler hedefler üzerinde izleme görevi vermeyi, bir hedef üzerinde gerçekleştirilecek eylemleri / istismarları ve bir sonraki komutun ne zaman ve nasıl gönderileceğine dair talimatları içermektedir. Tuzaklar için görevler arasında e-posta adresleri, sohbet kullanıcı adları, MAC adresleri ve ek eylemleri tetiklemek için ağ trafiğini izlerken VoIP numaraları için tarama, bir hedefin tüm ağ trafiğinin kopyalanması, hedef tarayıcısının yeniden yönlendirilmesi örnek verilebilir.
FlyTrap ayrıca CherryBlossom’a ait bir VPN sunucusuna VPN tünelleri kurarak operatöre Flytrap’ın WLAN / LAN üzerindeki istemcilere daha fazla yararlanılması için erişim izni verebilir. Flytrap bir hedef tespit ettiğinde, CherryTree’ye bir Uyarı gönderecek ve hedefe karşı herhangi bir eylem başlatacaktır. CherryTree, uyarıları bir veritabanına kaydeder ve uyarı bilgilerini ilgili taraflara potansiyel olarak dağıtır.
Editör : SavunmaTR Haber Merkezi
