האקרים עושים שימוש בסטגנוגרפיה כדי להסתיר מידע גנוב בתוך תמונות
סטגנוגרפיה היא גרסה דיגיטלית של טכניקה עתיקה, להסתרת הודעות בתוך תמונות ● חוקרי קספרסקי: "זו מגמה חדשה ומדאיגה" ● במתקפות בהן מעורבת סטגנוגרפיה, זיהוי של המידע המחולץ הופך למשימה קשה
האקרים מגבירים את השימוש בסטגנוגרפיה – גרסה דיגיטלית של טכניקה עתיקה, להסתרת הודעות בתוך תמונות – כדי להחביא את עקבות הפעילות הזדונית שלהם במחשב המותקף; כך עולה ממחקר חדש של חוקרי קספרסקי (Kaspersky Lab).
החוקרים זיהו את המגמה, "החדשה והמדאיגה", לדבריהם, במהלך ניתוח של כמה קמפיינים לריגול ופשיעת סייבר. באחרונה הם לכדו כמה דוגמאות של נוזקות, אשר נוצרו כדי לגנוב מידע פיננסי באמצעות טכניקה זו.
הזיהוי של המידע המחולץ הופך למשימה קשה.
במתקפות סייבר ממוקדות נפוצות, ברגע שהאיום נמצא בתוך הרשת, גורם האיום מבסס לעצמו נקודת אחיזה – ומתחיל לאסוף מידע בעל ערך, כדי לחלצו לאחר מכן לשרת הפיקוד והשליטה. ברוב המקרים, פתרונות אבטחה מוכחים וכלי אנליטיקה לאבטחה, מסוגלים לאתר את הנוכחות של גורם איום ברשת, בכל שלב של ההתקפה, כולל בשלב החילוץ.
הסיבה היא ששלב החילוץ מותיר עקבות בדרך כלל – עקבות כגון תיעוד לוג של חיבורים לכתובת IP שאינה ידועה, או כזו הנמצאת ברשימות שחורות. אך בכל הנוגע להתקפות בהן מעורבת סטגנוגרפיה, הזיהוי של המידע המחולץ הופך למשימה קשה.
במקרים של מתקפות בהן מעורבת סטגנוגרפיה, יוצרי הנוזקה או מי ששולחים אותה, מכניסים את המידע הגנוב אל תוך קוד של תמונה רגילה או קובץ וידיאו, שלאחר מכן נשלחים לשרת הפיקוד והשליטה. כך, קיימת סבירות נמוכה שאירוע כזה יפעיל התרעה, או טכנולוגיה להגנת נתונים. הסיבה היא שלאחר השינוי שמבצע התוקף, התמונה עצמה לא משתנה מבחינה ויזואלית, הגודל שלה ופרמטרים אחרים גם הם נותרים קבועים. לכן, הם אינם מהווים סימן לדאגה. הדבר הופך את הסטגנוגרפיה לשיטה משמעותית עבור תוקפים, בכל הנוגע לחילוץ נתונים מתוך הרשת המותקפת.
בחודשים האחרונים, חוקרי קספרסקי איתרו כמה פעולות ריגול סייבר שהשתמשו בטכניקה זו. לדבריהם "מדאיגה אף יותר, היא העובדה שהטכניקה אומצה גם על ידי עברייני סייבר רגילים – לצד שחקני הריגול".
החוקרים זיהו את השיטה בשימוש בגרסה מעודכנת של טרויאנים, הכוללים את Zerp ,ZeusVM ,Kins ,Triton ואחרים. רוב משפחות הנוזקות תוקפות בדרך כלל ארגונים פיננסים ומשתמשים של שירותים פיננסים. האחרונים עלולים להוות סימן לאימוץ מאסיבי של הטכניקה על ידי כותבי הנוזקות – דבר שיגדיל מאוד את המורכבות של זיהוי קוד זדוני.
למשוך את תשומת הלב של התעשייה לבעיה
לדברי אלכסי שלומין, חוקר אבטחה במעבדת קספרסקי, "זו לא הפעם הראשונה שאנו עדים לטכניקה זדונית, שבמקור שימשה גורמים מתוחכמים, שמוצאת את דרכה למיינסטרים של אופק האיומים. אולם במקרה של סטגנוגרפיה, מדובר בהתפתחות חשובה במיוחד. עד עתה, תעשיית האבטחה לא מצאה דרך אמינה לזהות חילוץ של מידע בדרך זו".
שלומין הוסיף כי "התמונות שמשמשות את התוקפים ככלי לשינוע מידע גנוב, הן גדולות מאוד – ועל אף שישנם אלגוריתמים היכולים לזהות באופן אוטומטי את השימוש בטכניקה, ההטמעה שלהם בהיקף נרחב תדרוש עוצמת מחשוב אדירה. עוצמה זו כנראה לא תהיה אפשרית מבחינת עלות".
מצד שני, אמר שלומין, "קל יחסית לזהות תמונה 'שהוטענה' בנתונים גנובים רגישים, באמצעות ניתוח ידני. לשיטה זו יש מגבלות, כיוון שאנליסט אבטחה יהיה מסוגל לנתח רק מספר מוגבל של תמונות בכל יום. אולי התשובה נעוצה בשילוב בין השניים".
"אנו במעבדת קספרסקי משלבים טכנולוגיה לניתוח אוטומטי עם ניתוח אנושי, כדי לזהות התקפות שכאלה. עם זאת, יש מקום לשיפור בתחום זה, והיעד של החקירות שלנו הוא למשוך את תשומת הלב של התעשייה לבעיה ולקדם פיתוח של טכנולוגיות אמינות אך חסכוניות, שיאפשרו זיהוי סטגנוגרפיה בהתקפות זדוניות".
איך אפשר להכניס מידע בתוך תמונה מבלי לשנות אותה? הרי כל הכנסה של מידע גורם לשינוי גודל הקובץ הכללי של התמונה
טעות בכותרת הכתבה: סטנוגרפיה היא קצרנות. הכתבה מתייחסת לסטגנוגרפיה. לתשומת לבכם