În anii '70, KGB-ul a inventat un dispozitiv electro-mecanic miniaturizat cu ajutorul căruia a putut afla tot ce scriau diplomații Statelor Unite din ambasada de la Moscova și de la consultatul din Leningrad. Dispozitivul, care era instalat în interiorul mașinilor de scris IBM Selectric, identifica și transmitea caracterele tastate și nu putea fi depistat decât cu ajutorul radiografiilor cu raze X. Sovieticii au folosit metoda din 1976 până în 1984, când americanii au descoperit-o după ce mașinile de scris electrice au fost returnate în SUA pentru a fi casate.
V-am prezentat „povestea de spionaj“ de mai sus, care a ieșit la iveală abia în 2012 printr-o notă informativă a National Security Agency (NSA), pentru că marchează în mod oficial apariția primului keylogger.
Conform definiției inițiale, un keylogger era un produs hardware care permitea înregistrarea caracterelor tastate. Ulterior, după ce PC-urile au început să fie utilizate pe scară largă, ponderea componentei software a crescut, iar keylogger-ele au devenit capabile să identifice și transmită și mișcările cursorului.
Enunțul a suportat modificări constante pentru că oferta s-a diversificat, noile generații de soluții-spion putând să identifice și zonele atinse pe ecranele senzitive ale device-urilor mobile, simbolurile apăsate pe tastaturile virtuale, câmpurile accesate din anumite aplicații sau pagini web etc. Evident, toate aceste operațiuni se realizează fără ca utilizatorul să aibă habar că este spionat și că datele pe care le generează sunt transmise mai departe.
În prezent există pe piață zeci de oferte „legale“ de programe keylogger, recomandate pentru monitorizarea activității online a copiilor sau prevenirea accesării neautorizate a anumitor dispozitive.
Dar și hackerii – și nu numai ei – utilizează intensiv astfel de aplicații, pe care le infiltrează pe dispozitivele-victimă prin metodele clasice de propagare a malware-ului sau utilizând tactici inovatoare. Cum ar fi, de exemplu, ascunderea lor în update-uri și drivere de aplicații, în jocuri sau chiar disimularea în false soluții de securitate.
Oferta de keyloggere se diversifică însă permanent. De exemplu, vedeta momentului este Phoenix, care – în doar patru luni de când a fost depistat de compania de securitate Cybereason – a reușit să își treacă în palmares aproape 10.000 de victime. Este un rezultat notabil având în vedere că, prin natura sa, un keylogger este un malware foarte discret, prin urmare este foarte posibil ca numărul real al victimelor să fie mai mare. Mai ales că Phoenix vine cu o serie de „abilități“ avansate, precum:
Pentru a deveni „Fully Undetectable“ (FUD), keylogger-ul își acoperă urmele stocând datele înregistrate în memoria RAM, nu pe disc, și folosește metode preconfigurate de a trimite informațiile extrase în format criptat, prin intermediul protocoalelor SMTP și FTP. Ceea ce permite utilizarea lui în scenarii de tipul „Set it and forget it“, care îi asigură camuflarea optimă.
Phoenix este livrat pe Dark Web sub formă de Malware-as-a-Service, în prezent fiind disponibile mai multe oferte, care pleacă de la 14,99 USD/lună și pot ajunge până la 78,99 USD pentru „Lifetime subscription“. Variantele avansate de licențiere includ servicii de update și de suport, prin care clienții beneficiază de noile funcționalități dezvoltate de hackeri și de consultanță în exploatare.
Pentru a face față unei amenințări precum Phoenix, trebuie să utilizați mai multe soluții de securitate, care să acționeze complementar și să fie integrate. Un pachet complet ar trebui să includă de la aplicații anti-malware, anti-virus și de criptare, la sisteme de dublă autentificare (2FA), de gestiune a parolelor și de management al patch-urilor. Nu sunt puține, dar, cel mai probabil, pe unele dintre acestea le folosiți deja. Noi vă putem ajuta să vă completați sistemul de protecție cu soluțiile necesare și să le integrați, astfel încât să puteți depista și bloca în timp util orice scurgere de informații din compania voastră.
