Χάκερ χρησιμοποιούν όλο και περισσότερο την τεχνική της στεγανογραφίας

Ενώ οι ερευνητές της Kaspersky Lab ανέλυαν πολλαπλές εκστρατείες ψηφιακής κατασκοπείας και ψηφιακών εγκληματιών, εντόπισαν μια νέα, ανησυχητική τάση.

Οι κακόβουλοι χάκερ χρησιμοποιούν όλο και περισσότερο την τακτική της στεγανογραφίας – ψηφιακή έκδοση μιας αρχαίας τεχνικής απόκρυψης μηνυμάτων μέσα σε εικόνες – με στόχο την απόκρυψη των ιχνών της κακόβουλης δραστηριότητας τους σε έναν υπολογιστή που έχει δεχτεί επίθεση. Ένας αριθμός λειτουργιών κακόβουλου λογισμικού που στοχεύουν στην ψηφιακή κατασκοπεία και πολλά παραδείγματα κακόβουλου λογισμικού που δημιουργήθηκαν για να κλέψουν οικονομικές πληροφορίες έχουν πρόσφατα εντοπιστεί να αξιοποιούν την τεχνική αυτή.

Όπως διαπιστώθηκε σε μια τυπική στοχευμένη ψηφιακή επίθεση, ένας φορέας απειλής – όταν βρισκόταν στο εσωτερικό του δικτύου που δεχόταν επίθεση – θα αποκτούσε πρόσβαση και στη συνέχεια θα συνέλεγε πολύτιμες πληροφορίες για να μεταφερθεί αργότερα στον command and control server. Στις περισσότερες περιπτώσεις, αποδεδειγμένες λύσεις ασφάλειας ή επαγγελματικές αναλύσεις ασφάλειας είναι σε θέση να εντοπίσουν την παρουσία του φορέα απειλής στο δίκτυο σε κάθε στάδιο μιας επίθεσης, συμπεριλαμβανομένου του σταδίου της εκδιήθησης. Αυτό οφείλεται στο γεγονός ότι το κομμάτι της εκδιήθησης συνήθως αφήνει ίχνη, για παράδειγμα συνδέσεις σε άγνωστη διεύθυνση IP ή σε IP που βρίσκεται σε μαύρη λίστα. Ωστόσο, όταν πρόκειται για επιθέσεις που χρησιμοποιείται στεγανογραφία, η ανίχνευση της εκδιήθησης δεδομένων γίνεται μια πραγματικά δύσκολη υπόθεση.

Σε αυτό το σενάριο, οι κακόβουλοι χρήστες εισάγουν τις πληροφορίες που πρέπει να κλαπούν ακριβώς μέσα στον κώδικα μιας ασήμαντης οπτικής εικόνας ή αρχείου βίντεο που στη συνέχεια αποστέλλονται στον C & C. Επομένως, είναι απίθανο ένα τέτοιο γεγονός να μπορούσε να πυροδοτήσει συναγερμούς ασφάλειας ή τεχνολογία προστασίας δεδομένων. Αυτό συμβαίνει επειδή μετά την τροποποίηση από τον εισβολέα, η ίδια η εικόνα δεν θα αλλάξει οπτικά και το μέγεθός της και οι περισσότερες άλλες παράμετροι επίσης δεν θα μεταβληθούν και συνεπώς δεν προκαλούν ανησυχίες. Αυτό καθιστά την στεγανογραφία μια προσοδοφόρα τεχνική για τους κακόβουλους φορείς, όταν πρόκειται να επιλέξουν τον τρόπο απομάκρυνσης δεδομένων από ένα δίκτυο που έχει δεχτεί επίθεση.

Τους τελευταίους μήνες, οι ερευνητές της Kaspersky Lab έχουν παρακολουθήσει τουλάχιστον τρεις επιχειρήσεις ψηφιακής κατασκοπείας που έκαναν χρήση της τεχνικής αυτής. Πιο ανησυχητικά, η τεχνική υιοθετείται επίσης ενεργά και από τους τακτικούς ψηφιακούς εγκληματίες, όχι μόνο από φορείς ψηφιακής κατασκοπείας. Οι ερευνητές της Kaspersky Lab έχουν δει ότι χρησιμοποιούνται σε αναβαθμισμένες εκδόσεις Trojan, συμπεριλαμβανομένων των Zerp, ZeusVM, Kins, Triton και άλλων. Οι περισσότερες από αυτές τις οικογένειες κακόβουλου λογισμικού στοχοποιούν γενικά χρηματοπιστωτικούς οργανισμούς και χρήστες χρηματοπιστωτικών υπηρεσιών. Το τελευταίο θα μπορούσε να είναι ένα σημάδι της επικείμενης μαζικής υιοθέτησης της τεχνικής από δημιουργούς κακόβουλου λογισμικού και – ως αποτέλεσμα – γενικά αυξημένη πολυπλοκότητα ανίχνευσης κακόβουλου λογισμικού.