Rusya merkezli siber güvenlik şirketi Kaspersky, daha evvel çeşitli atakların ardında olduğu tespit edilen Platinum isimli siber taarruz kümesinin, Güney Asya’daki diplomatik ve askeri kurumlar ile devlet kurumlarından bilgi sızdırmayı hedefleyen gelişmiş bir siber casusluk saldırısından sorumlu olduğunu duyurdu.
1-
Güvenlik araştırmacıları bir müddettir steganografi tekniğinin yol açtığı tehlikeler konusunda ikazlarda bulunuyor. Bu teknikte, sadece bilgi değil datayı gönderme süreci de gizleniyor.
2-
Steganografiyi, sadece bilginin gizlendiği kriptografi metodundan ayıran da bu. Steganografi tekniğini kullanan siber casuslar, sızdıkları sistemlerde hiç kuşku çekmeden uzun müddet kalabiliyor.
3-
PLATINUM kümesi da bu prosedürü kullanan kümelerden biri. Güney ve Güneydoğu Asya’da devlet kurumlarına ve ilgili kuruluşlara taarruzlarda bulunan kümenin bilinen en son faaliyeti 2017’de gerçekleşmişti.
4-
PLATINUM’un yeni tespit edilen bu operasyonunda, ziyanlı komutlar bir web sitesinin HTML kodlarına ekleniyor.
5-
Klavyedeki ‘tab’ ve ‘boşluk’ tuşları HTML kodunun ekrana yansıma formunu değiştirmiyor. Bundan yararlanan tehdit kümesi, bu iki tuşa belli bir sistemde basılarak aktifleştirilen komutlar hazırlıyor.
6-
Sonuç olarak bu komutları ağ trafiğinde tespit etmek neredeyse imkansız hale geliyor. Ziyanlı yazılım, tüm trafik içinde kuşku çekmeyen bir web sitesine fark edilmeyecek bir biçimde erişiyor.
7-
Zararlı yazılımı tespit etmek için araştırmacıların, aygıta belge yükleyebilen programları denetim etmesi gerekti. Bu programlar ortasından biri, farklı davranışıyla uzmanların dikkatini çekti. Bu program, idare maksadıyla Dropbox bulut hizmetine erişiyordu ve sırf muhakkak vakitlerde çalışacak biçimde ayarlanmıştı.
8-
Araştırmacılar daha sonra bunun, ziyanlı yazılım faaliyetlerini olağan çalışma saatlerinde gerçekleşen süreçler ortasında gizlemek ve kuşku çekmemek için yapıldığını anladı. Aslında yazılım, bulunduğu aygıttaki dataları ve belgeleri dışarı sızdırıyordu.
9-
Kaspersky Güvenlik Araştırmacısı Alexey Shulmin, hususla ilgili şu değerlendirmeyi yaptı:
“Platinum’un bilinen tüm hücumları çok kapsamlı ve gelişmiş oldu. Bu taarruzda kullanılan ziyanlı yazılım da bunun bir örneği. Uzun müddet tespit edilmeden kalabilmek için steganografi yolunun yanı sıra öbür özelliklerden de yararlanılmış. Örneğin, komutlar sadece komut merkezinden değil, ele geçirilen makineler ortasında da gönderilmiş. Bu halde, akına uğrayan aygıtlarla tıpkı altyapıda yer alan ancak internete bağlı olmayan aygıtlara da erişim sağlanmış. Platinum üzere tehdit kümelerinin steganografi tekniğine başvurması, gelişmiş kalıcı tehditlerin artık çok daha karmaşık teknikler kullanarak güvenlik radarından kaçınmaya çalıştığını gösteriyor. Güvenlik şirketleri yeni tahliller geliştirirken bunu kesinlikle dikkate almalı.”
