Steganogrāfija: vairākas hakeru grupas arvien biežāk izmanto šo paņēmienu

Ir noskaidrots, ka tipiskā mērķuzbrukumā apdraudējuma izpildītājs, nonācis uzbrukumam pakļautajā tīklā, izveido atbalsta punktu un tad vāc vērtīgu informāciju, lai pēc tam to pārsūtītu uz komandvadības serveri. Vairumā gadījumu pārbaudīti drošības risinājumi vai profesionāla drošības analītika spēj konstatēt apdraudējuma izpildītāja klātbūtni tīklā katrā uzbrukuma posmā, tostarp eksfiltrācijas posmā, jo eksfiltrācijas daļa parasti atstāj pēdas, piemēram, reģistrētus savienojumus ar nezināmu vai melnajā sarakstā iekļautu IP adresi. Taču, ja uzbrukumā ir izmantota steganogrāfija, datu eksfiltrācijas atklāšana ir apgrūtināta.

Šajā gadījumā ļaunprātīgie lietotāji nozogamo informāciju ievieto tieši ikdienišķa foto vai video attēla datnes kodā, kura pēc tam tiek nosūtīta uz komandvadības serveri. Ir maz ticams, ka šāds notikums iedarbinās kādus drošības trauksmes signālus vai datu aizsardzības tehnoloģijas, jo pēc uzbrucēja veiktajām modifikācijām pats attēls nebūs vizuāli pārveidots un tā lielums un vairums citu parametru arī netiks mainīti, tādējādi neizraisot nekādas aizdomas. Tas padara steganogrāfiju par pievilcīgu paņēmienu ļaunprātīgiem izpildītājiem, kad ir jāizvēlas veids, kā eksfiltrēt datus no uzbrukumam pakļautā tīkla.

Pēdējos mēnešos Kaspersky Lab pētnieki ir bijuši liecinieki vismaz trim kiberspiegošanas operācijām, kurās ir izmantots šis paņēmiens. Vēl satraucošāk, ka līdztekus kiberspiegošanas izpildītājiem šo paņēmienu aktīvi ievieš parasti kibernoziedznieki. Kaspersky Lab pētnieki ir novērojuši, ka tas ir izmantots Trojas zirgu, tostarp Zerp, ZeusVM, Kins, Triton un citu, atjauninātajās versijās. Vairums šo ļaunprogrammatūru saimju pārsvarā uzbrūk finanšu organizācijām un finanšu pakalpojumu lietotājiem. Šī var būt pazīme, ka ļaunprogrammatūru autori masveidā ieviesīs šo paņēmienu un tādējādi ļaunprogrammatūru noteikšana kopumā kļūs sarežģītāka.

«No otras puses, ar manuālo analīzi ir samērā viegli identificēt ar nozagtiem sensitīvajiem datiem «pielādētu» attēlu. Taču šai metodei ir ierobežojumi, jo drošības analītiķis spēj dienā izanalizēt ļoti ierobežotu skaitu attēlu. Iespējams, atbilde ir abu metožu apvienojums. Kaspersky Lab pētnieki izmanto automatizētās analīzes tehnoloģiju un cilvēka intelekta apvienojumu, lai pamanītu un atklātu šādus uzbrukumus. Tomēr šajā jomā ir iespējami uzlabojumi, un mūsu pētījumu mērķis ir pievērst nozares uzmanību problēmai un nodrošināt uzticamu, bet pieejamu tehnoloģiju izstrādi, kas ļauj identificēt steganogrāfiju ļaunprogrammatūru uzbrukumos,» sacīja Kaspersky Lab drošības pētnieks Aleksejs Šuļmins.