Kaip nustatyta tipiniame tiksliniame kibernetiniame išpuolyje, grėsmės vykdytojas, patekęs į tinklo vidų, įsitvirtina ir renka vertingą informaciją, kad vėliau būtų perkeltas į komandų ir valdymo serverį. Daugeliu atvejų patikimi saugumo sprendimai ar profesionalūs saugumo analitikai gali nustatyti grėsmės vykdytojo buvimą tinkle kiekviename išpuolių etape, įskaitant eksfiltraciją. Taip yra todėl, kad eksfiltracijos dalis paprastai palieka pėdsakus, pvz., prisijungimą prie nežinomo arba juodojo sąrašo IP adreso. Tačiau kai kalbama apie išpuolius, kuriuose naudojama steganografija, duomenų vagystės aptikimas tampa sunkiu uždaviniu.
Pagal šį scenarijų nusikaltėliai pavogtą informaciją įterpia į mažojo vaizdo ar vaizdo failo kodo vidų ir vėliau siunčia jį į komandinį kontrolės serverį. Toks įvykis paprastai nesuaktyvina jokių saugumo signalų ar duomenų apsaugos technologijų. Štai kodėl po užpuoliko modifikacijų pats vaizdas nesikeičia vizualiai. Nekinta nei jo dydis, nei daugelis kitų parametrų. Taigi, nekyla jokių priežasčių nerimauti. Dėl to steganografija yra pelninga priemonė kenkėjiškiems veikėjams, kai kalbama apie pasirinkimo būdą, kaip pavogti duomenis iš užgrobto tinklo.
Pastaraisiais mėnesiais „Kaspersky Lab“ ekspertai užfiksavo mažiausiai tris kibernetinio šnipinėjimo operacijas, naudojančias šią technologiją elektroninėje erdvėje. Dar labiau nerimą kelia tai, kad ją aktyviai perima ir nuolatiniai kibernetiniai nusikaltėliai. „Kaspersky Lab“ ekspertai nustatė, kad jie naudojo atnaujintą „Trojos“ viruso versiją, įskaitant „Zerp“, „ZeusVM“, „Kins“, „Triton“ ir kitus. Dauguma šių kenkėjiškų programų šeimų paprastai nukreiptos į finansines organizacijas ir finansinių paslaugų naudotojus. Tai galėtų būti ženklas, kad kenkėjiškų programų autoriai automatiškai perims šią technologiją ir taip dar labiau apsunkins kenkėjiškų programų aptikimą.
„Kita vertus, naudojant rankinę analizę, palyginti lengva nustatyti atvaizdą, papildytą pavogtais slaptais duomenimis. Tačiau šis metodas yra ribotas, nes saugumo analitikas galėtų taip išanalizuoti tik labai ribotą vaizdų skaičių per dieną. Galbūt sprendimas gali būti dviejų analizės metodų taikymas. Siekdami nustatyti ir aptikti tokius išpuolius, „Kaspersky Lab“ naudojame automatinės analizės ir žmogaus intelekto technologijos derinį. Tačiau šios srities galimybės dar tobulinamos, o mūsų tyrimų tikslas – atkreipti pramonės dėmesį į problemą ir užtikrinti, kad būtų sukurtos patikimos ir prieinamos technologijos, leidžiančios aptikti steganografiją kenkėjiškų programų išpuoliuose,“ – sako Aleksejus Šulminas (Alexey Shulmin), „Kaspersky Lab“ saugumo ekspertas.
