En analysant de multiples campagnes de cyberespionnage et de cybercriminalité, les chercheurs de Kaspersky Lab ont identifié une nouvelle tendance inquiétante.
En analysant de multiples campagnes de cyberespionnage et de cybercriminalité, les chercheurs de Kaspersky Lab ont identifié une nouvelle tendance inquiétante : des pirates emploient de plus en plus la stéganographie, une version numérique d’un stratagème ancien consistant à dissimuler des messages à l’intérieur d’images, afin de masquer les traces de leur activité malveillante sur un ordinateur attaqué. Un certain nombre de malwares espions ainsi que plusieurs autres destinés au vol d’informations financières ont récemment été repérés utilisant cette technique.
Dans le cadre d’une cyberattaque ciblée type, un acteur malveillant – une fois infiltré dans le réseau attaqué – établit une tête de pont puis collecte des informations de valeur afin de les transférer par la suite à un serveur de commande et de contrôle (C&C). Dans la plupart des cas, des solutions de sécurité ou des outils analytiques professionnels éprouvés sont en mesure de détecter la présence de l’intrus sur le réseau à chaque phase d’une attaque, notamment au moment de l’exfiltration des données volées. En effet, cette exfiltration laisse généralement des traces, par exemple l’enregistrement de connexions à une adresse IP inconnue ou inscrite en liste noire. Or le recours à la stéganographie rend cette détection difficile.
Dans ce scénario, les utilisateurs malveillants insèrent les informations dérobées directement dans le code d’une banale photo ou vidéo, qui est ensuite envoyée au serveur C&C. Il est donc peu probable que cet envoi déclenche une alerte de sécurité de la part des technologies de protection des données. La raison en est qu’après l’intervention du pirate, l’image elle-même ne présente aucune modification visuelle, tout comme dans sa taille et la plupart des autres paramètres, n’éveillant par conséquent aucun soupçon. Cela fait de la stéganographie une technique lucrative pour les acteurs malveillants lorsqu’il s’agit pour eux de choisir une méthode d’exfiltration des données depuis un réseau attaqué.
Ces derniers mois, les chercheurs de Kaspersky Lab ont été témoins d’au moins trois opérations de cyberespionnage faisant appel à cette technique. Plus inquiétant encore, celle-ci est aussi activement pratiquée par des cybercriminels, notamment dans des mises à jour des chevaux de Troie Zerp, ZeusVM, Kins, Triton ou autres. La majorité de ces malwares sont cibles généralement des établissements financiers et les utilisateurs de leurs services. Cela pourrait être le signe d’une prochaine adoption massive de la technique par les auteurs de malwares et – en conséquence – d’une complexité généralement accrue de leur détection.
« Même si ce n’est pas la première fois que nous voyons une technique malveillante, employée à l’origine par des menaces élaborées, être reprise plus généralement par des malwares répandus, le cas de la stéganographie nous interpelle particulièrement. Jusqu’à présent, le secteur de la sécurité n’a pas trouvé de moyen fiable de détecter une exfiltration de données par ce biais. Les images utilisées par les auteurs des attaques pour transporter les informations volées sont très volumineuses et, bien que certains algorithmes puissent éventuellement en automatiser la détection, leur mise en œuvre à très grande échelle mobiliserait une puissance de calcul considérable et serait d’un coût prohibitif », commente Alexey Shulmin, chercheur en sécurité chez Kaspersky Lab.
« En revanche, il est relativement facile d’identifier, à l’aide d’une analyse manuelle, une image “chargée” avec des données sensibles dérobées. Cependant, cette méthode a ses limites car un analyste en sécurité ne pourra étudier qu’un nombre très restreint d’images par jour. Peut-être la solution passe-t-elle par une combinaison des deux. Chez Kaspersky Lab, nous combinons diverses technologies d’analyse automatique et humaine afin d’identifier et de détecter ce type d’attaques. Il existe cependant une marge de progression dans ce domaine, l’objectif de nos investigations étant d’attirer l’attention du secteur sur le problème et de permettre le développement de technologies à la fois fiables et économiques pour repérer l’emploi de la stéganographie dans les attaques de malware. »
Pour en savoir plus sur les différents modes de stéganographie utilisés par les acteurs malveillants et sur les méthodes potentielles de détection, lisez notre blog sur Securelist.com.