Platinum Geri Döndü

Siber suçlu grubu güvenlik radarına yakalanmamak için steganografi tekniğini kullanıyor.

Güvenlik araştırmacıları bir süredir steganografi tekniğinin yol açtığı tehlikeler konusunda uyarılarda bulunuyor. Bu teknikte, yalnızca veri değil veriyi gönderme işlemi de gizleniyor. Steganografiyi, yalnızca verinin gizlendiği kriptografi yönteminden ayıran da bu. Steganografi tekniğini kullanan siber casuslar, sızdıkları sistemlerde hiç şüphe çekmeden uzun süre kalabiliyor. PLATINUM grubu da bu yöntemi kullanan gruplardan biri. Güney ve Güneydoğu Asya’da devlet kurumlarına ve ilgili kuruluşlara saldırılarda bulunan grubun bilinen en son faaliyeti 2017’de gerçekleşmişti.

PLATINUM’un yeni tespit edilen bu operasyonunda, zararlı komutlar bir web sitesinin HTML kodlarına ekleniyor. Klavyedeki ‘tab’ ve ‘boşluk’ tuşları HTML kodunun ekrana yansıma şeklini değiştirmiyor. Bundan yararlanan tehdit grubu, bu iki tuşa belirli bir düzende basılarak etkinleştirilen komutlar hazırlıyor. Sonuç olarak bu komutları ağ trafiğinde tespit etmek neredeyse imkansız hale geliyor. Zararlı yazılım, tüm trafik içinde şüphe çekmeyen bir web sitesine fark edilmeyecek bir şekilde erişiyor.

Zararlı yazılımı tespit etmek için araştırmacıların, cihaza dosya yükleyebilen programları kontrol etmesi gerekti. Bu programlar arasından biri, farklı davranışıyla uzmanların dikkatini çekti. Bu program, yönetim amacıyla Dropbox bulut hizmetine erişiyordu ve yalnızca belirli zamanlarda çalışacak şekilde ayarlanmıştı. Araştırmacılar daha sonra bunun, zararlı yazılım faaliyetlerini normal çalışma saatlerinde gerçekleşen işlemler arasında gizlemek ve şüphe çekmemek için yapıldığını anladı. Aslında yazılım, bulunduğu cihazdaki verileri ve dosyaları dışarı sızdırıyordu.

Kaspersky Güvenlik Araştırmacısı Alexey Shulmin, “PLATINUM’un bilinen tüm saldırıları çok kapsamlı ve gelişmiş oldu. Bu saldırıda kullanılan zararlı yazılım da bunun bir örneği. Uzun süre tespit edilmeden kalabilmek için steganografi yönteminin yanı sıra başka özelliklerden de yararlanılmış. Örneğin, komutlar yalnızca komut merkezinden değil, ele geçirilen makineler arasında da gönderilmiş. Bu şekilde, saldırıya uğrayan cihazlarla aynı altyapıda yer alan fakat internete bağlı olmayan cihazlara da erişim sağlanmış. PLATINUM gibi tehdit gruplarının steganografi yöntemine başvurması, gelişmiş kalıcı tehditlerin artık çok daha karmaşık yöntemler kullanarak güvenlik radarından kaçınmaya çalıştığını gösteriyor. Güvenlik şirketleri yeni çözümler geliştirirken bunu mutlaka dikkate almalı.” dedi.