Wyrafinowany trend cyberprzestępców: steganografia

Pliki graficzne wykorzystywane przez atakujących jako narzędzie do przenoszenia skradzionych informacji są bardzo duże i nawet jeśli istnieją algorytmy, które mogłyby automatycznie wykrywać tę technikę, wdrożenie ich na skalę masową - jest to niemozliwe ekonomicznie.

Kaspersky Lab zidentyfikował nowy, niepokojący trend: atakujący w coraz większym stopniu stosują steganografię — cyfrową wersję starej techniki polegającej na ukrywaniu wiadomości wewnątrz obrazów — w celu zamaskowania śladów swojej szkodliwej aktywności na zaatakowanym komputerze.

Ostatnio technika ta została zidentyfikowana w wielu operacjach cyberszpiegowskich z użyciem szkodliwego oprogramowania oraz w kilku przykładach szkodliwego oprogramowania stworzonego z myślą o kradzieży informacji finansowych.

Etap wysyłania skradzionych informacji pozostawia ślady, np. w postaci zarejestrowanych zdarzeń wysyłania poufnych informacji do urządzenia z nieznanym lub umieszczonym na czarnej liście adresem IP.  Jednak w przypadku ataków z wykorzystaniem steganografii wykrycie wyprowadzania danych staje się bardziej skomplikowane.

Steganografia czyli podklejenie

W tym scenariuszu szkodliwi użytkownicy umieszczają skradzione informacje wewnątrz kodu pliku graficznego lub wideo, który jest następnie wysyłany do serwera, co w wielu przypadkach nie wywoła żadnego alarmu bezpieczeństwa czy technologii ochrony danych. Wynika to z tego, że dokonana przez atakujących modyfikacja nie powoduje zmian wizualnych w samym obrazie, nie występują też różnice pod względem rozmiaru i większości innych parametrów, co nie daje żadnych podstaw do niepokoju — na pierwszy rzut oka obrazek taki nie różni się niczym od oryginału. Steganografia stanowi zatem intratną technikę dla cyberprzestępców w kontekście wyboru sposobu wyprowadzania danych z atakowanej sieci.

Cyberpropaganda: fake news

Jak dotąd branża bezpieczeństwa nie znalazła sposobu na skuteczne wykrywanie realizowanego wyprowadzania danych przy pomocy steganografii. Pliki graficzne wykorzystywane przez atakujących jako narzędzie do przenoszenia skradzionych informacji są bardzo duże i nawet jeśli istnieją algorytmy, które mogłyby automatycznie wykrywać tę technikę, wdrożenie ich na skalę masową wymagałoby ogromnej mocy obliczeniowej i byłoby poza zasięgiem ze względu na koszty.