Güvenlik araştırmacıları bir müddettir steganografi tekniğinin yol açtığı tehlikeler konusunda ihtarlarda bulunuyor. Bu teknikte, sadece bilgi değil datayı gönderme süreci de gizleniyor. Steganografiyi, sırf bilginin gizlendiği kriptografi formülünden ayıran da bu. Steganografi tekniğini kullanan siber casuslar, sızdıkları sistemlerde hiç kuşku çekmeden uzun mühlet kalabiliyor. PLATINUM kümesi da bu tekniği kullanan kümelerden biri. Güney ve Güneydoğu Asya’da devlet kurumlarına ve ilgili kuruluşlara akınlarda bulunan kümenin bilinen en son faaliyeti 2017’de gerçekleşmişti.
PLATINUM’un yeni tespit edilen bu operasyonunda, ziyanlı komutlar bir web sitesinin HTML kodlarına ekleniyor. Klavyedeki ‘tab’ ve ‘boşluk’ tuşları HTML kodunun ekrana yansıma formunu değiştirmiyor. Bundan yararlanan tehdit kümesi, bu iki tuşa makul bir nizamda basılarak aktifleştirilen komutlar hazırlıyor. Sonuç olarak bu komutları ağ trafiğinde tespit etmek neredeyse imkansız hale geliyor. Ziyanlı yazılım, tüm trafik içinde kuşku çekmeyen bir web sitesine fark edilmeyecek bir formda erişiyor.
Zararlı yazılımı tespit etmek için araştırmacıların, aygıta evrak yükleyebilen programları denetim etmesi gerekti. Bu programlar ortasından biri, farklı davranışıyla uzmanların dikkatini çekti. Bu program, idare maksadıyla Dropbox bulut hizmetine erişiyordu ve sırf makul vakitlerde çalışacak formda ayarlanmıştı. Araştırmacılar daha sonra bunun, ziyanlı yazılım faaliyetlerini olağan çalışma saatlerinde gerçekleşen süreçler ortasında gizlemek ve kuşku çekmemek için yapıldığını anladı. Aslında yazılım, bulunduğu aygıttaki dataları ve belgeleri dışarı sızdırıyordu.
Kaspersky Güvenlik Araştırmacısı Alexey Shulmin, “PLATINUM’un bilinen tüm atakları çok kapsamlı ve gelişmiş oldu. Bu akında kullanılan ziyanlı yazılım da bunun bir örneği. Uzun müddet tespit edilmeden kalabilmek için steganografi yolunun yanı sıra öbür özelliklerden de yararlanılmış. Örneğin, komutlar sadece komut merkezinden değil, ele geçirilen makineler ortasında da gönderilmiş. Bu biçimde, hücuma uğrayan aygıtlarla tıpkı altyapıda yer alan ancak internete bağlı olmayan aygıtlara da erişim sağlanmış. PLATINUM üzere tehdit kümelerinin steganografi usulüne başvurması, gelişmiş kalıcı tehditlerin artık çok daha karmaşık metotlar kullanarak güvenlik radarından kaçınmaya çalıştığını gösteriyor. Güvenlik şirketleri yeni tahliller geliştirirken bunu kesinlikle dikkate almalı.” dedi.