Разработчик антивирусных программ компания FireEye заявила о том, что нашла новый вирус, используемый для хакерских атак, основанный на стеганографии. Специалисты компании полагают, что его разработала группа из России, передает BBC News.

Вирус представляет собой вредоносное ПО под названием Hammertoss, управляющее сайтом Github и онлайн фотографиями и использующее все это, чтобы атаковать компьютеры. Вирус создает аккаунты в Twitter, которые начинают постить твит с адресом вебсайта и хэштегом, указывая местоположение и размер фотографии. А уже в фотографии, хранящейся на сайте Github, «зашиты» инструкции, которые и позволяют получить доступ к данным с компьютера посетителя сайта. Известно несколько случаев, когда Hammertoss подгружал информацию из компьютерной сети жертвы в чьи-то аккаунты на облачных сервисах.

Стеганография предполагает, что информация «записывается» в изображение посредством изменения мельчайших деталей — компьютерная картинка состоит из множества пикселей, и цвет каждого из них характеризуется тремя числами, определяющими «количество» красного, зеленого и синего в цвете пикселя. Пользователь не замечает изменений, но соответствующее программное обеспечение их видит. Таким образом можно записать и сообщение в коде Ascii коды — например, команду.

FireEye назвали группу разработчиков вируса APT29. Анализ целей, данных, которые были украдены, часов действия атак и перерывы — похоже, атаки прекращаются на время нерабочих дней в России, — указывает, про мнению специалистов компании, что создатели вируса находятся в нашей стране или, по крайней мере, поддерживют соответствующий режим работы.

Атаку Hammertoss сложно определить и заблокировать с помощью антивируса, поскольку она состоит из несколькоих частей, которые по отдельности антивирус может и не опознать как враждебные.

«Hammertoss ставит перед специалистами по безопасности по-настоящему трудную задачу разделить вредоносные команды и рядовой трафик, — сказала Джен Уидон (Jen Weedon), специалист компании FireEye по информации и стратегическому анализу. — Кроме того, у атакующих нет инфраструктуры, которую можно было бы заблокировать, поэтому чтобы найти и нейтрализовать такой инструмент нужно соответсвующее сочетание людей, технологий и информации».

Алан Вудворд (Alan Woodward), советник Europol, объяснил, как это может выглядеть: «Вредоносное программное обеспечение само по себе не привязано к изображениям, но в изображениях могут содержаться инструкции для него. То есть части целого по отдельности не привлекают внимания систем безопасности, но когда все они, попавшие на пораженный компьютер разными путями, объединяются, то активируются, зная, что им нужно украть и куда это отправить». Кроме того, добавил, добавил профессор Вудворд, такая конструкция затрудняет идентификацию хакеров.