Группа инженеров из израильского Университета имени Бен-Гуриона специализируется на изучении хакерских атак, позволяющих преодолевать так называемый «воздушный зазор» (air gap). Их проекты стали достопримечательностью на Hacker News. Во многом благодаря названиям, которые они дают своим эксплойтам. В последней работе авторы рассказали об атаке SATAn. Она подразумевает использование SATA-кабелей в качестве антенны для трансляции данных. Далее рассмотрим, в чем её смысл, разберем другие исследования рабочей группы и обсудим их практическую применимость.
Свежая концепция
В середине июля инженеры из Университета Бен-Гуриона показали, что злоумышленники могут использовать SATA-кабели для извлечения данных. Первый шаг — установка вредоносного ПО на изолированную систему. Сделать это можно разными способами — например, с помощью социальной инженерии, подкупа или обмана пользователей, имеющих доступ к целевому компьютеру. Вредонос собирает данные о заражённой системе, ищет уязвимости, необходимые файлы, запоминает пароли (кейлоггинг).
Далее, вирус идентифицирует устройства с SATA-интерфейсами — HDD или SSD. С помощью шелл-кода он поддерживает активность файловой системы и превращает кабели SATA в своеобразные антенны, способные передавать радиосигналы на частоте 6 ГГц. Затем, собранная информация (пароли, документы, файлы), шифруется, модулируется и передается на специальный приемник — он может быть спрятан рядом со скомпрометированной системой. Приемник мониторит 6-гигагерцевый спектр, производит демодуляцию данных и пересылает их злоумышленникам [PDF, рис. 4].
Больше атак
Всего исследовательская группа из Израиля проработала порядка шестидесяти различных типов атак на вычислительные системы. Один из известных эксплойтов получил название AirHopper. Инженеры показали, что можно извлечь данные системы, проанализировав электромагнитное излучение видеокарты. Для этих целей был использован FM-приемник мобильных устройств, которые сотрудники компании приносят с собой в рамках политики bring your own device (BYOD). Во время тестов специалистам удалось успешно распознать сигнал на расстоянии до семи метров. Полоса пропускания FM-канала составляет от 13 до 60 байт/с — этого достаточно для передачи паролей.
Также инженеры работали над методами, позволяющими извлекать данные через «воздушный зазор», ориентируясь на мерцание статусных LED на свитчах и маршрутизаторах [и даже клавиатур]. Подход подразумевает внедрение вредоносного кода в прошивку оборудования, чтобы получить низкоуровневый контроль за светодиодами. Данные предлагают считывать с помощью камер или оптических сенсоров, спрятанных в помещении. Наконец, израильские специалисты предложили передавать данные между двумя компьютерами, используя ультразвуковые волны. Для этого эксплойт превращает акустическую систему в микрофон. Хотя колонки изначально не приспособлены для работы в таком режиме, они неплохо распознают частоты в диапазоне от 18 кГц до 24 кГц.
Сложно реализовать
Все подходы, описанные группой из Университета имени Бен-Гуриона, применимы на практике. Однако реализовать их достаточно трудно. В большинстве случаев атаки требуют предварительного заражения системы и доступ к оборудованию, подразумевающий серьезные затраты со стороны злоумышленников.
Можно с уверенностью сказать, что подобные эксплойты не подходят для кражи данных у рядовых пользователей. Но в корпоративной сфере — возможно и такое. Несмотря на сложность и большое число неизвестных, подобные атаки проводят чаще, чем может показаться на первый взгляд. Достаточно известные кейсы — Agent.btz, Stuxnet или USBCulprit. Злоумышленники подключались к изолированным сетям с помощью физических устройств — USB-флешек или внешних жестких дисков. Также еще в 2018 году специалисты по ИБ обнаружили внутри серверов западных облачных провайдеров, ИТ-компаний и государственных подрядчиков крошечные микрочипы. Они позволяли хакерам управлять скомпрометированными вычислительными системами.
Если вас заинтересовала эта тема, то поэкспериментировать с нестандартными подходами к передаче данных можно в безобидном русле. Сделать это поможет open source программа System Bus Radio. С помощью специальных инструкций она превращает процессор и другие подсистемы в излучатели радиосигнала и транслирует Mary Had a Little Lamb. Трек можно зафиксировать с помощью радиоприемника, установленного в непосредственной близости от компьютера.
Больше материалов по теме ИБ в корпоративном блоге VAS Experts:
