Ενώ οι ερευνητές της Kaspersky Lab ανέλυαν πολλαπλές εκστρατείες ψηφιακής κατασκοπείας και ψηφιακών εγκληματιών, εντόπισαν μια νέα, ανησυχητική τάση: οι κακόβουλοι χάκερ χρησιμοποιούν όλο και περισσότερο την τακτική της στεγανογραφίας – ψηφιακή έκδοση μιας αρχαίας τεχνικής απόκρυψης μηνυμάτων μέσα σε εικόνες – με στόχο την απόκρυψη των ιχνών της κακόβουλης δραστηριότητας τους σε έναν υπολογιστή που έχει δεχτεί επίθεση. Ένας αριθμός λειτουργιών κακόβουλου λογισμικού που στοχεύουν στην ψηφιακή κατασκοπεία και πολλά παραδείγματα κακόβουλου λογισμικού που δημιουργήθηκαν για να κλέψουν οικονομικές πληροφορίες έχουν πρόσφατα εντοπιστεί να αξιοποιούν την τεχνική αυτή.
Όπως διαπιστώθηκε σε μια τυπική στοχευμένη ψηφιακή επίθεση, ένας φορέας απειλής – όταν βρισκόταν στο εσωτερικό του δικτύου που δεχόταν επίθεση – θα αποκτούσε πρόσβαση και στη συνέχεια θα συνέλεγε πολύτιμες πληροφορίες για να μεταφερθεί αργότερα στον command and control server. Στις περισσότερες περιπτώσεις, αποδεδειγμένες λύσεις ασφάλειας ή επαγγελματικές αναλύσεις ασφάλειας είναι σε θέση να εντοπίσουν την παρουσία του φορέα απειλής στο δίκτυο σε κάθε στάδιο μιας επίθεσης, συμπεριλαμβανομένου του σταδίου της εκδιήθησης. Αυτό οφείλεται στο γεγονός ότι το κομμάτι της εκδιήθησης συνήθως αφήνει ίχνη, για παράδειγμα συνδέσεις σε άγνωστη διεύθυνση IP ή σε IP που βρίσκεται σε μαύρη λίστα. Ωστόσο, όταν πρόκειται για επιθέσεις που χρησιμοποιείται στεγανογραφία, η ανίχνευση της εκδιήθησης δεδομένων γίνεται μια πραγματικά δύσκολη υπόθεση.
Σε αυτό το σενάριο, οι κακόβουλοι χρήστες εισάγουν τις πληροφορίες που πρέπει να κλαπούν ακριβώς μέσα στον κώδικα μιας ασήμαντης οπτικής εικόνας ή αρχείου βίντεο που στη συνέχεια αποστέλλονται στον C & C. Επομένως, είναι απίθανο ένα τέτοιο γεγονός να μπορούσε να πυροδοτήσει συναγερμούς ασφάλειας ή τεχνολογία προστασίας δεδομένων. Αυτό συμβαίνει επειδή μετά την τροποποίηση από τον εισβολέα, η ίδια η εικόνα δεν θα αλλάξει οπτικά και το μέγεθός της και οι περισσότερες άλλες παράμετροι επίσης δεν θα μεταβληθούν και συνεπώς δεν προκαλούν ανησυχίες. Αυτό καθιστά την στεγανογραφία μια προσοδοφόρα τεχνική για τους κακόβουλους φορείς, όταν πρόκειται να επιλέξουν τον τρόπο απομάκρυνσης δεδομένων από ένα δίκτυο που έχει δεχτεί επίθεση.
Τους τελευταίους μήνες, οι ερευνητές της Kaspersky Lab έχουν παρακολουθήσει τουλάχιστον τρεις επιχειρήσεις ψηφιακής κατασκοπείας που έκαναν χρήση της τεχνικής αυτής. Πιο ανησυχητικά, η τεχνική υιοθετείται επίσης ενεργά και από τους τακτικούς ψηφιακούς εγκληματίες, όχι μόνο από φορείς ψηφιακής κατασκοπείας. Οι ερευνητές της Kaspersky Lab έχουν δει ότι χρησιμοποιούνται σε αναβαθμισμένες εκδόσεις Trojan, συμπεριλαμβανομένων των Zerp, ZeusVM, Kins, Triton και άλλων. Οι περισσότερες από αυτές τις οικογένειες κακόβουλου λογισμικού στοχοποιούν γενικά χρηματοπιστωτικούς οργανισμούς και χρήστες χρηματοπιστωτικών υπηρεσιών. Το τελευταίο θα μπορούσε να είναι ένα σημάδι της επικείμενης μαζικής υιοθέτησης της τεχνικής από δημιουργούς κακόβουλου λογισμικού και – ως αποτέλεσμα – γενικά αυξημένη πολυπλοκότητα ανίχνευσης κακόβουλου λογισμικού.
«Αν και δεν είναι η πρώτη φορά που παρατηρούμε μια κακόβουλη τεχνική αρχικά χρησιμοποιούμενη από εξελιγμένους απειλητικούς φορείς, να βρίσκεται στο επικίνδυνο τοπίο κακόβουλου λογισμικού, η περίπτωση της στεγανογραφίας είναι ιδιαίτερα σημαντική. Μέχρι στιγμής, ο κλάδος ασφάλειας δεν έχει βρει έναν τρόπο για την αξιόπιστη ανίχνευση της εκδιήθησης δεδομένων που διεξάγεται με αυτόν τον τρόπο. Οι εικόνες που χρησιμοποιούν οι επιτιθέμενοι ως εργαλείο μεταφοράς για κλεμμένες πληροφορίες είναι πολύ μεγάλες και παρόλο που υπάρχουν ορισμένοι αλγόριθμοι που θα μπορούσαν να ανιχνεύσουν αυτόματα την τεχνική, η υλοποίησή τους σε μαζική κλίμακα θα απαιτούσε τόνους υπολογιστικής ισχύος και το κόστος θα ήταν απαγορευτικό».
«Από την άλλη πλευρά, είναι σχετικά εύκολο να εντοπιστεί μια εικόνα “φορτωμένη” με κλεμμένα ευαίσθητα δεδομένα με τη βοήθεια χειρωνακτικής ανάλυσης. Ωστόσο, αυτή η μέθοδος έχει περιορισμούς, καθώς ο αναλυτής ασφάλειας θα μπορούσε να αναλύσει μόνο έναν πολύ περιορισμένο αριθμό εικόνων την ημέρα. Ίσως η απάντηση να είναι μία μίξη των δύο. Στην Kaspersky Lab, χρησιμοποιούμε έναν συνδυασμό τεχνολογιών για την αυτοματοποιημένη ανάλυση και την ανθρώπινη διάνοια για να αναγνωρίσουμε και να εντοπίσουμε τέτοιες επιθέσεις. Ωστόσο, υπάρχουν περιθώρια βελτίωσης σε αυτόν τον τομέα και ο στόχος των ερευνών μας είναι να προσελκύσουμε την προσοχή της βιομηχανίας στο πρόβλημα και να επιβάλουμε την ανάπτυξη αξιόπιστων αλλά οικονομικά προσιτών τεχνολογιών, επιτρέποντας τον προσδιορισμό της στεγανογραφίας σε επιθέσεις κακόβουλου λογισμικού», δήλωσε ο Alexey Shulmin, security researcher της Kaspersky Lab.
Για περισσότερες πληροφορίες σχετικά με τους τύπους στεγανογραφίας που χρησιμοποιούνται από τους κακόβουλους φορείς και τις πιθανές μεθόδους ανίχνευσης, μπορείτε να διαβάσετε το blogpost στον ειδικό ιστότοπο SecureList