Rusya merkezli siber güvenlik şirketi Kaspersky, daha önce çeşitli saldırıların arkasında olduğu tespit edilen Platinum isimli siber saldırı grubunun, Güney Asya’daki diplomatik ve askeri kurumlar ile devlet kurumlarından bilgi sızdırmayı hedefleyen gelişmiş bir siber casusluk saldırısından sorumlu olduğunu duyurdu.
1-
Güvenlik araştırmacıları bir süredir steganografi tekniğinin yol açtığı tehlikeler konusunda uyarılarda bulunuyor. Bu teknikte, yalnızca veri değil veriyi gönderme işlemi de gizleniyor.
2-
Steganografiyi, yalnızca verinin gizlendiği kriptografi yönteminden ayıran da bu. Steganografi tekniğini kullanan siber casuslar, sızdıkları sistemlerde hiç şüphe çekmeden uzun süre kalabiliyor.
3-
PLATINUM grubu da bu yöntemi kullanan gruplardan biri. Güney ve Güneydoğu Asya’da devlet kurumlarına ve ilgili kuruluşlara saldırılarda bulunan grubun bilinen en son faaliyeti 2017’de gerçekleşmişti.
4-
PLATINUM’un yeni tespit edilen bu operasyonunda, zararlı komutlar bir web sitesinin HTML kodlarına ekleniyor.
5-
Klavyedeki ‘tab’ ve ‘boşluk’ tuşları HTML kodunun ekrana yansıma şeklini değiştirmiyor. Bundan yararlanan tehdit grubu, bu iki tuşa belirli bir düzende basılarak etkinleştirilen komutlar hazırlıyor.
6-
Sonuç olarak bu komutları ağ trafiğinde tespit etmek neredeyse imkansız hale geliyor. Zararlı yazılım, tüm trafik içinde şüphe çekmeyen bir web sitesine fark edilmeyecek bir şekilde erişiyor.
7-
Zararlı yazılımı tespit etmek için araştırmacıların, cihaza dosya yükleyebilen programları kontrol etmesi gerekti. Bu programlar arasından biri, farklı davranışıyla uzmanların dikkatini çekti. Bu program, yönetim amacıyla Dropbox bulut hizmetine erişiyordu ve yalnızca belirli zamanlarda çalışacak şekilde ayarlanmıştı.
8-
Araştırmacılar daha sonra bunun, zararlı yazılım faaliyetlerini normal çalışma saatlerinde gerçekleşen işlemler arasında gizlemek ve şüphe çekmemek için yapıldığını anladı. Aslında yazılım, bulunduğu cihazdaki verileri ve dosyaları dışarı sızdırıyordu.
9-
Kaspersky Güvenlik Araştırmacısı Alexey Shulmin, konuyla ilgili şu değerlendirmeyi yaptı:
“Platinum’un bilinen tüm saldırıları çok kapsamlı ve gelişmiş oldu. Bu saldırıda kullanılan zararlı yazılım da bunun bir örneği. Uzun süre tespit edilmeden kalabilmek için steganografi yönteminin yanı sıra başka özelliklerden de yararlanılmış. Örneğin, komutlar yalnızca komut merkezinden değil, ele geçirilen makineler arasında da gönderilmiş. Bu şekilde, saldırıya uğrayan cihazlarla aynı altyapıda yer alan fakat internete bağlı olmayan cihazlara da erişim sağlanmış. Platinum gibi tehdit gruplarının steganografi yöntemine başvurması, gelişmiş kalıcı tehditlerin artık çok daha karmaşık yöntemler kullanarak güvenlik radarından kaçınmaya çalıştığını gösteriyor. Güvenlik şirketleri yeni çözümler geliştirirken bunu mutlaka dikkate almalı.”