Клавиатурные шпионы (кейлоггер, keylogger)

Существует много способов, как незаметно для пользователя получить личные данные с персонального компьютера. Одним из них является кейлоггер. Как известно, кейлоггером называется устройство или ПО для перехвата ввода с клавиатуры. Оно выполняет распознавание кода нажатых кнопок, скрыто сохраняет и передает информацию злоумышленнику. Кейлоггер является разновидностью шпионских программ.

Название термина образовано слиянием английских слов key – переводится «нажатие на клавишу», и logger – в переводе означает «регистрирующее устройство». Сумма этих двух слов keylogger читается как «ки-ло́ггер». Проще говоря, keylogger – это регистратор нажатий клавиш. «Шпион» может записывать информацию не только о нажимаемых кнопках на клавиатуре, но и о ряде других действий, например, совершении движений мышью и т.д. Кейлоггер фиксирует время и дату нажатий, что немаловажно для построения хронологии событий. У термина кейлоггер есть синонимичные названия, например, keyboard logger, key capture program,  key recorder и другие. Часто клавиатурного регистратора называют снупером по аналогии с английским словом snoop, означающего человека, который сует нос в чужие дела.

Классификация и способы

Кейлоггеры классифицируются по многим признакам: по виду, месту расположения на хранение либо по виду отправки лог-файла, методу применения. Различают кейлоггеры по включению в сигнатурные базы. По способу реализации угрозы различают кейлоггер аппаратный, программный, акустический. Так как акустический кейлоггер используется сравнительно редко, остановимся на характеристике первых двух видов шпиона за клавиатурой.

Аппаратный кейлоггер – это приспособление малых размеров, инсталлируемое на ПК с целью регистрации всех нажиманий кнопок на клавиатуре. Устройство трудно обнаружить из-за места расположения, малых размеров, схожести с обычным  оборудованием для компьютеров. Куда крепят кейлоггер аппаратного вида? Шпион, внешне похожий на переходник, устанавливают между кабелем клавиатуры и системным блоком – это наружное приспособление. Устройство может подключить любой пользователь, снять его в любое время, подсоединить к другому компьютеру и считать информацию. Существует визуальное наблюдение за клавиатурой, например, за панелью банкомата, куда вводится пин-код. В данной ситуации аппаратным кейлоггером выступает видеокамера.

Аппаратные кейлоггеры бывают внутренними. Например, очень маленький аппарат может встраиваться в разрыв кабеля клавиатуры и покрываться изоляцией. При свободном доступе к компьютерной машине кейлоггер легко впаивается в микросхему клавиатуры или материнскую плату. Внутренние кейлоггеры не видны обычным пользователям, и даже не всегда распознаются ИТ-специалистами при детальном исследовании внутренностей ноутбука или системного блока ПК. Еще есть бесконтактные электромагнитные кейлоггеры. Их можно крепить к кабелю клавиатуры. В таком случае устройство похоже на фильтр помех и не вызывает подозрений.

Аппаратные кейлоггеры наружного и внутреннего вида (кроме бесконтактных) не нуждаются в источнике питания, так как подключены к ПК, их внутренняя память может сохранять до 20 млн нажатий клавиш. Устройство не обнаруживается антивирусными программами. Это значит, что считывание информации с клавиш может происходить в течение длительного времени. Однако у аппаратных клавиатурных шпионов есть и недостатки:

  • устройство нельзя установить удаленно;
  • объем памяти хоть и большой, но ограниченный;
  • для снятия данных нужно получить приспособление обратно, если у компьютера нет Wi-Fi модуля.

Самыми распространенными являются программные кейлоггеры. Они созданы много лет назад, чтобы контролировать действия пользователя ПК. Слив нажатий клавиатурных клавиш выполняется простым программным приложением. Полученные данные фиксируются в хронологическом порядке в специальном журнале – лог-файле и оправляются. Информация передается по сети разными методами, например по Интернету, по локальной сети, с помощью беспроводной связи.

Программные кейлоггеры (keylogger) не только записывают нажатия клавиш, но и фиксируют нажимания кнопок мыши, движения, совершаемые мышью, считывание данных из окон, выполняют съемку экрана. Программный шпион перехватывает учет принятых/отправленных электронных писем, запись изображения с камеры и даже звука с микрофона, если таковые подключены к компьютерному устройству. Программный продукт способен следить за файловой активностью, записывать задания, которые отправляются на печать и многое другое.

Объект воздействия

Проникновение программного кейлоггера в компьютер происходит легко и незаметно. Шпион может попасть вместе с нелицензионным ПО, незаметно загрузиться при посещении сайтов, при открытии файла, прикрепленного к электронному письму, и даже быть встроенным в легальное приложение. Кроме того, существуют легальные кейлоггеры, например, программа Punto Switcher от компании «Яндекс». Она автоматически переключает раскладку клавиатуры, имеет опцию ведения дневника, фиксируя в текстовый файл все нажатия клавиш. «Пунто Свитчер» не детектируется как вредонос, он довольно часто устанавливается злоумышленниками на компьютеры жертв.

Кейлоггеры (keylogger) хоть и вмешиваются в работу компьютера, но не вредят операционной системе. Это разновидность Unwanted programs, то есть нежелательные, шпионские программы, которые ничего не портят, но отлично воруют информацию. Регистратор нажатий клавиш может служить как хорошим средством управления безопасностью, так и результативным средством нарушения безопасности, нанося урон пользователю. Увидеть тонкую грань между этими функциями помогут только методы, с помощью которых применялся кейлоггер.

Применение клавиатурного шпиона может быть санкционированным и несанкционированным. При санкционированном использовании аппаратного или программного кейлоггера пользователь ПК, ноутбука, инженер безопасности либо владелец автоматизированной системы ставится в известность. Компьютер доступен для установки аппаратного устройства либо выданы права администратора для запуска программы. В таком случае кейлоггеры называются мониторинговыми продуктами и выполняют ряд полезных функций.

Санкционировано регистраторы клавиш применяются в государственных учреждениях, в частных компаниях, на производствах и в различных организациях. Установка кейлоггеров дает возможность определить попытки передачи важной информации третьим лицам, попытки набора паролей доступа, исследовать инциденты, связанные с компьютером. Клавиатурные шпионы помогают контролировать использование компьютерной техники в личных целях или в нерабочее время, а также получить информацию с жесткого диска ПК, если по какой-то причине нет пароля доступа.

Кейлоггер позволяет определить, насколько оперативно и грамотно персонал может реагировать на воздействия извне. Кроме того, кейлоггеры встраиваются в DLP-продукты с целью контроля переписки персонала для предотвращения передачи секретной информации. С помощью регистратора нажатий клавиш можно восстановить важную информацию после нарушения работы ОС.

Несанкционированное применение кейлоггера состоит во внедрении программы или аппаратного устройства без согласия и без ведома владельца компьютера, ноутбука или инженера безопасности автоматизированных систем. Такие регистраторы называются шпионскими продуктами, они обычно связаны с противозаконной деятельностью. Объектами воздействия несанкционированного применения кейлоггеров (keylogger) могут быть частные лица, банковские и финансовые системы, компании большого и малого бизнеса, государственные структуры, различные организации, предприятия и т.д.

Незаконное использование аппаратных устройств или фиксирующих программ дает злоумышленнику возможность получить важную корпоративную информацию, номера счетов, пароли в системах платежей, коды к учетным данным, доступ к просмотру электронной почты. С помощью кейлоггеров осуществляется шпионаж в сфере политики и экономики, открывается доступ к тайнам коммерческих структур и государственных учреждений, системам криптографической защиты информации, становится возможным завладение чужими денежными средствами, использование учетных записей в своих целях.

Источник угрозы

Кто может внедрять клавиатурного шпиона и служить источником угрозы? Если говорить о санкционированном применении кейлоггеров, то они устанавливаются администраторами служб безопасности, сотрудниками правоохранительных органов, разных секретных служб. Подробнее о том, как используется кейлоггер в обеспечении  безопасности данных, можно узнать на сайте https://www.anti-malware.ru/reviews/kib_SearchInform_part2#part4.

Стоит отметить, что существуют доступные для скачивания программы, которые может установить любой пользователь. Например, родители отслеживают действия детей в сети, получают оповещение при попытках ребенка зайти на запрещенные ресурсы. Регистратор нажатий клавиш применяют мужья и жены для наблюдений за действиями супруги/супруга в социальных сетях, для чтения электронных писем и различных текстовых сообщений.

В организациях и коммерческих организациях угроза перехвата нажатий клавиатурных клавиш может исходить от персонала. Сотрудники имеют физический доступ к компьютерным машинам, могут установить как аппаратное устройство, так и программный шпионский продукт. Опасность могут нести работники сервисных служб, выполняющие ремонт и обслуживание компьютерных машин, а также фирмы, продающие ПО.

Самым распространенным источником угрозы, особенно для частных лиц, является сеть. Интернет-мошенники используют множество средств заражения компьютера своей «жертвы» программой с кейлоггером, например, рассылка писем с вложениями по электронной почте, заражение файлов в каталогах, находящихся в общем доступе сети, автоматически запускающиеся программы на веб-страницах и т.п. Функция кейлоггера есть во многих троянских программах. Они проникают в компьютер пользователя и выполняют полный контроль над совершаемыми действиями, фиксируя всю информацию. Сегодня практически нет однофункциональных кейлоггеров, настало время универсальных вредоносных программ.

Анализ риска

Риски попадания в зону внимания киберпреступников велики и у организаций, и частных лиц. И если есть уверенность в невозможности использования злоумышленником аппаратного кейлоггера, то проникновение в компьютер программного продукта предупредить не так просто. Компания Symantec, исследуя вредоносное ПО, сообщает, что примерно половина таких программ и приложений применяется с целью сбора информации, а не для нанесения вреда компьютеру. Так, компанией ESET была раскрыта вредоносная киберкампания «Операция Liberpy». Мошенники воровали персональные данные пользователей путем установки в систему программ-кейлоггеров. Детальную информацию о происшествии можно прочитать в статье, перейдя по ссылке https://www.anti-malware.ru/news/2015-07-16/16497 . «Лаборатория Касперского» отмечает интенсивный рост программ, включающих среди прочих рисков угрозу считывания информации от нажатий клавиш, кликов мыши и прочих действий пользователя. Это значит, что от кражи личных данных не застрахован ни один человек, пользующийся Интернетом.

При заражении компьютера кейлоггером возможны разные последствия. Для государственных учреждений и коммерческих структур они заключаются в потере конфиденциальной информации, материальном ущербе. На страже защиты интересов компаний стоят службы безопасности. А вот обычные пользователи Интернета чаще всего становятся жертвами мошенников. Заразив компьютер кейлоггером, киберпреступники получают информацию о банковских и электронных счетах, снимают и переводят денежные средства, оформляют кредиты. Существует много примеров потери личных средств пользователями, краж крупных сумм со счетов банков, промышленного шпионажа.

Бороться с программными кейлоггерами сложно, но вполне возможно при помощи антивирусных программ. Для борьбы с аппаратными регистраторами нажатия клавиш используются специальные сканеры, выполняется анализ рентгеновских снимков оборудования. Простым, но эффективным способом защиты от большинства кейлоггеров являются экранные клавиатуры, заменяющие нажатие на кнопку клавиатуры кликом мышки на участок экрана.

Похищающий информацию кейлоггер распространяется через спам

...
Похищающий информацию кейлоггер распространяется через спам

В недавно обнаруженной спам-кампании злоумышленники используют замаскированные под банковские переводы вредоносные электронные письма для распространения вредоносной программы, которая крадет информацию, хранящуюся в браузерах, логирует нажатие клавиш и похищает крипто-валюту Bitcoin из кошельков.

В библиотеке университета Конкордии нашли аппаратные кейлоггеры

...

В ходе планового перемещения оборудования сотрудники университета Конкордии (Монреаль, Канада) случайно обнаружили, что к рабочим компьютерам библиотеки подключены странные устройства. Расследование показало, что неизвестные лица установили на машины аппаратные кейлоггеры.

Умные часы можно использовать в качестве кейлоггера

...

Французский студент Тони Белтрамелли (Tony Beltramelli) опубликовал в сети магистерскую диссертацию, озаглавленную «Глубокий шпионаж: слежка с использованием умных часов и глубинного обучения».

Эксперты ESET раскрыли операцию кибершпионажа

...

Компания ESET раскрыла вредоносную киберкампанию «Операция Liberpy». Злоумышленники специализировались на краже персональных данных пользователей путем установки в систему программ-кейлоггеров. Ботнет, обнаруженный специалистами ESET, включал более 2000 зараженных устройств.

Индийские банкоматы уязвимы из-за устаревшего ПО

...

В апреле 2014 года Microsoft закончит поддержку операционной системы Windows XP. В результате множество банкоматов Индии останется без обновления ПО. Это сделает их уязвимыми для взлома. Подобная технологическая отсталость может поставить под угрозу карточные безналичные расчеты в стране.

Банковский троян Hesperbot похищает биткоины

...

Международная антивирусная компания ESET сообщает об обнаружении новой модификации банковского трояна Hesperbot, которая обладает возможностями по краже биткоинов. Злоумышленникам удалось заразить пользователей в Германии и Австралии. Hesperbot – комплексная вредоносная программа для хищения информации с компьютера пользователя. Кроме этого, Hesperbot может заражать мобильные устройства, работающие под управлением Android, Symbian и Blackberry.

Создан вирус который крадет данные без Интернет-подключения

...

Ученые придумали вредоносное программное обеспечение, которое показывает, как компьютеры без сетевого соединения могут взаимодействовать друг с другом. Налаживание контакта осуществляется через динамики и микрофоны. Программа ставит под угрозу защищенность всех компьютерных устройств в мире.

Новый бэкдор перехватывает вводимые с клавиатуры данные

...

Компания «Доктор Веб» предупреждает о широком распространении вредоносной программы BackDoor.Saker.1, обходящей механизм контроля учетных записей пользователей. Основная функция BackDoor.Saker.1 — выполнение поступающих от злоумышленников команд, и, главное, перехват нажимаемых пользователем клавиш (кейлоггинг).

Киберпреступники активно используют набор эксплойтов Red Kit

...

 Специалисты компании Zscaler заявляют, что набор вредоносных программ Red Kit становится все более популярным у киберпреступников. Эксперты Zscaler заявляют, что им удалось обнаружить множество вредоносных сайтов, при попадании на которые, компьютеры жертв инфицируются компонентами вышеупомянутого набора эксплойтов. 

Язык сценариев AutoIt становится всё более популярным у киберпреступников

...

 Эксперты утверждают, что язык сценариев AutoIt становится всё более популярным у создателей вредоносных программ. Специалисты компании Trend Micro выявили множество вредоносных программ и инструментов, созданных киберпреступниками при помощи AutoIt, включая клавиатурные шпионы (keylogger) и RAT-трояны.