İSTANBUL
Kaspersky araştırmacıları, Güney Asya’daki diplomatik, askeri ve devlet kurumlarından bilgi sızdırmayı hedefleyen siber saldırının arkasında, dağıldığı düşünülen Platinum grubunun olduğunu açıkladı.
Kaspersky'den yapılan açıklamaya göre, şirketin araştırmacıları Güney Asya’daki birçok kurumdan bilgi sızdırmayı amaçlayan gelişmiş bir siber casusluk saldırısını tespit etti. Siber suçlu grubu güvenlik radarına yakalanmamak için steganografi tekniğini kullanıyor.
Saldırının yaklaşık altı yıldır sürdüğü ve bölgedeki diğer saldırılarla da bağlantısı olduğu belirlendi. Kullanılan araçlar ve yöntemler üzerinde yapılan incelemede araştırmacılar saldırının arkasında, dağıldığı düşünülen Platinum grubunun olduğu sonucuna vardı.
Zararlı komutlar web sitesinin kodlarına ekleniyor...
Güvenlik araştırmacıları bir süredir steganografi tekniğinin yol açtığı tehlikeler konusunda uyarılarda bulunuyor. Bu teknikte, yalnızca veri değil veriyi gönderme işlemi de gizleniyor.
Steganografi tekniğini kullanan siber casuslar, sızdıkları sistemlerde hiç şüphe çekmeden uzun süre kalabiliyor. Platinum grubu da bu yöntemi kullanan gruplardan biri. Güney ve Güneydoğu Asya’da devlet kurumlarına ve ilgili kuruluşlara saldırılarda bulunan grubun bilinen en son faaliyeti 2017’de gerçekleşmişti.
Platinum'un yeni tespit edilen bu operasyonunda, zararlı komutlar bir web sitesinin HTML kodlarına ekleniyor. Klavyedeki ‘tab’ ve ‘boşluk’ tuşları HTML kodunun ekrana yansıma şeklini değiştirmiyor.
Bundan yararlanan tehdit grubu, bu iki tuşa belirli bir düzende basılarak etkinleştirilen komutlar hazırlıyor. Sonuç olarak bu komutları ağ trafiğinde tespit etmek neredeyse imkansız hale geliyor. Zararlı yazılım, tüm trafik içinde şüphe çekmeyen bir web sitesine fark edilmeyecek bir şekilde erişiyor.
Siber tehditler karmaşık yöntemler kullanıyor...
Zararlı yazılımı tespit etmek için araştırmacıların, cihaza dosya yükleyebilen programları kontrol etmesi gerekiyor. Bu programlar arasından biri, farklı davranışıyla uzmanların dikkatini çekti.
Bu program, yönetim amacıyla Dropbox bulut hizmetine erişti ve yalnızca belirli zamanlarda çalışacak şekilde ayarlandı.
Araştırmacılar daha sonra bunun, zararlı yazılım faaliyetlerini normal çalışma saatlerinde gerçekleşen işlemler arasında gizlemek ve şüphe çekmemek için yapıldığını anladı. Yazılım, bulunduğu cihazdaki verileri ve dosyaları dışarı sızdırıyordu.
Açıklamada görüşlerine yer verilen Kaspersky Güvenlik Araştırmacısı Alexey Shulmin, Platinum gibi tehdit gruplarının steganografi yöntemine başvurmasının siber tehditlerin artık çok daha karmaşık yöntemler kullandığını gösterdiğini belirterek, güvenlik şirketlerinin yeni çözümler geliştirirken bu durumu dikkate almaları gerektiğini ifade etti.
Platinum grubunun tüm saldırılarının çok kapsamlı gelişmiş olduğunu kaydeden Shulmin, “Platinum'un bilinen tüm saldırıları çok kapsamlı ve gelişmiş oldu. Bu saldırıda kullanılan zararlı yazılım da bunun bir örneği. Uzun süre tespit edilmeden kalabilmek için steganografi yönteminin yanı sıra başka özelliklerden de yararlanılmış. Örneğin, komutlar yalnızca komut merkezinden değil, ele geçirilen makineler arasında da gönderilmiş. Bu şekilde, saldırıya uğrayan cihazlarla aynı altyapıda yer alan fakat internete bağlı olmayan cihazlara da erişim sağlanmış” dedi.
Bilinmeyen kaynaklardan uygulama indirilmemeli...
Kaspersky, karmaşık siber casusluk operasyonlarına karşı şu önlemlerin alınmasını tavsiye ediyor:
"Çalışanların potansiyel zararlı uygulama veya dosyaları tanıyabilmesi ve bunlardan kaçınması için güvenlik farkındalığı eğitimleri düzenleyin. Örneğin, çalışanlar güvenilmeyen veya bilinmeyen kaynaklardan herhangi bir uygulama ya da program indirip çalıştırmamalı.
Uç nokta seviyesinde tespit, soruşturma ve vakalara zamanında müdahale için Kaspersky Endpoint Detection and Response gibi bir uç nokta tespit ve müdahale çözümü kullanın.
Mutlaka bulunması gereken uç nokta koruma çözümlerinin yanı sıra gelişmiş tehditleri ilk aşamada ağ düzeyindeyken tespit eden, Kaspersky Anti Targeted Attack Platform gibi kurumsal sınıf bir güvenlik çözümü kullanın.
Güvenlik merkezi ekiplerinizin en yeni Tehdit İstihbaratı verilerine ulaşmasını sağlayın. Böylece tehdit grupları tarafından kullanılan yeni araçlar, teknikler ve taktikler hakkında güncel bilgiye sahip olabilirler."