Kaspersky Uyardı: PLATINUM Geri Döndü!
Kaspersky Uyardı: PLATINUM Geri Döndü!
Kaspersky araştırmacıları, Güney Asya’daki diplomatik ve askeri kurumlar ile devlet kurumlarından bilgi sızdırmayı hedefleyen gelişmiş bir siber casusluk saldırısını tespit etti. Saldırının yaklaşık altı yıldır sürdüğü ve bölgedeki diğer saldırılarla da bağlantısı olduğu belirlendi. Kullanılan araçlar ve yöntemler üzerinde yapılan incelemede araştırmacılar saldırının arkasında, dağıldığı düşünülen PLATINUM grubunun olduğu sonucuna vardı. Grubun, bu kadar uzun süre tespit edilmeden faaliyet gösterebilmek için steganografi adı verilen bir teknik kullandığı anlaşıldı. Bu teknikte veri gönderme işlemi de gizleniyor.
Güvenlik araştırmacıları bir süredir steganografi tekniğinin yol açtığı tehlikeler konusunda uyarılarda bulunuyor. Bu teknikte, yalnızca veri değil veriyi gönderme işlemi de gizleniyor. Steganografiyi, yalnızca verinin gizlendiği kriptografi yönteminden ayıran da bu. Steganografi tekniğini kullanan siber casuslar, sızdıkları sistemlerde hiç şüphe çekmeden uzun süre kalabiliyor. PLATINUM grubu da bu yöntemi kullanan gruplardan biri. Güney ve Güneydoğu Asya’da devlet kurumlarına ve ilgili kuruluşlara saldırılarda bulunan grubun bilinen en son faaliyeti 2017’de gerçekleşmişti.
PLATINUM’un yeni tespit edilen bu operasyonunda, zararlı komutlar bir web sitesinin HTML kodlarına ekleniyor. Klavyedeki ‘tab’ ve ‘boşluk’ tuşları HTML kodunun ekrana yansıma şeklini değiştirmiyor. Bundan yararlanan tehdit grubu, bu iki tuşa belirli bir düzende basılarak etkinleştirilen komutlar hazırlıyor. Sonuç olarak bu komutları ağ trafiğinde tespit etmek neredeyse imkansız hale geliyor. Zararlı yazılım, tüm trafik içinde şüphe çekmeyen bir web sitesine fark edilmeyecek bir şekilde erişiyor.
Zararlı yazılımı tespit etmek için araştırmacıların, cihaza dosya yükleyebilen programları kontrol etmesi gerekti. Bu programlar arasından biri, farklı davranışıyla uzmanların dikkatini çekti. Bu program, yönetim amacıyla Dropbox bulut hizmetine erişiyordu ve yalnızca belirli zamanlarda çalışacak şekilde ayarlanmıştı. Araştırmacılar daha sonra bunun, zararlı yazılım faaliyetlerini normal çalışma saatlerinde gerçekleşen işlemler arasında gizlemek ve şüphe çekmemek için yapıldığını anladı. Aslında yazılım, bulunduğu cihazdaki verileri ve dosyaları dışarı sızdırıyordu.
Kaspersky Güvenlik Araştırmacısı Alexey Shulmin, “PLATINUM’un bilinen tüm saldırıları çok kapsamlı ve gelişmiş oldu. Bu saldırıda kullanılan zararlı yazılım da bunun bir örneği. Uzun süre tespit edilmeden kalabilmek için steganografi yönteminin yanı sıra başka özelliklerden de yararlanılmış. Örneğin, komutlar yalnızca komut merkezinden değil, ele geçirilen makineler arasında da gönderilmiş. Bu şekilde, saldırıya uğrayan cihazlarla aynı altyapıda yer alan fakat internete bağlı olmayan cihazlara da erişim sağlanmış. PLATINUM gibi tehdit gruplarının steganografi yöntemine başvurması, gelişmiş kalıcı tehditlerin artık çok daha karmaşık yöntemler kullanarak güvenlik radarından kaçınmaya çalıştığını gösteriyor. Güvenlik şirketleri yeni çözümler geliştirirken bunu mutlaka dikkate almalı.” dedi.