Читать «Стеганография. История тайнописи» онлайн - страница 77
Вадим Викторович Гребенников
2.7. Стеганография в кибератаках
Сегодня наблюдается новая и опасная тенденция: все больше и больше разработчиков вредоносного ПО и средств кибершпионажа прибегает к использованию стеганографии.
Первый пример такого использования был зафиксирован в случае с вредоносным ПО «Duqu» в 2011 году. Оно шифровало данные и скрывало их внутри графических файлов «JPEG», позже отправляемых на сервер управления. В 2014 году аналогичная техника использовалась в банковском трояне «Zeus».
«Duqu» версии 1.0 была обнаружена в Венгрии, Австрии, Индонезии, Великобритании, Судане и Иране. Оно активно эксплуатировало «0day» в «Windows», а дополнительное вредоносное ПО доставлялось в системы жертв под видом «MSI» (англ. Microsoft Software Installers). Вредоносное ПО не создавало и не модифицировало какие-либо дисковые файлы или системные настройки, что сделало его обнаружение крайне сложным.
Платформа «Duqu» версии 2.0 была сконструирована таким образом, что не нуждалась в закреплении. Она почти полностью базировалась в памяти операционной системы без применения каких-либо механизмов закрепления.
Потом было ПО «Shady RAT», «Zbot», «Stegoloader», «DNSChanger», «Sundown», «Cerber», «TeslaCrypt» и другие. Детектировать такие вещи непросто, поэтому проникновение вирусов и утечки данных через них могут долго оставаться незамеченными специалистами служб информационной безопасности.
В 2006 году начались атаки трояна «Shady RAT», которые продолжаются до сих пор и исходят из Китая. В 2008 году они были направлены на руководящие органы летней Олимпиады в Пекине. В 2011 году кибернападению подверглись более 70 корпораций и правительственных организаций по всему миру, в том числе оборонные подрядчики ООН.
В 2011 году компания-разработчик антивирусного программного обеспечения «McAfee» сообщила о 5-летней хакерской атаке «Shady RAT», которая работает с помощью рассылки зараженных «трояном» электронных писем сотрудников выбранных организаций. После открытия полученного письма «троян» устанавливается на компьютер.
Среди 49 жертв атаки были Олимпийский комитет ООН, Ассоциация государств Юго-Восточной Азии, компании Японии, Швейцарии, Великобритании, Индонезии, Дании, Сингапура, Гонконга, Германии, Индии и правительств США, Тайваня, Южной Кореи, Вьетнама, Канады.
В настоящее время список вредоносного финансового ПО возглавляет программа «Zbot», на ее долю приходится почти 16 % всех кибератак в финансовой сфере. Она участвовала в 74 % кибератак в Казахстане, направленных на взлом систем дистанционного банковского обслуживания и счетов пользователей.
В 2011 году с помощью «Zbot» в России была осуществлена передача всей необходимой банковской информации на сервер злоумышленника и кража пользовательских данных из банка. Когда сотрудники МВД начали расследование, выяснилось, что он вместе с сообщниками уже похитил около 300 миллионов рублей со счетов почти 50 компаний.