Как злоумышленники могут использовать радиосигналы и мобильные телефоны для кражи защищенных данных?

Радиочастотный хакер, разработанный израильскими исследователями, позволит злоумышленникам удаленно красть данные даже с компьютеров с воздушным зазором, не подключенных к Интернету.

Компьютеры, на которых хранятся самые конфиденциальные данные в мире, обычно «закрыты» или изолированы от Интернета. Они также не подключены к другим системам, подключенным к Интернету, и их функция Bluetooth также отключена. Иногда работникам не разрешается даже приносить мобильные телефоны в зону досягаемости компьютеров. Все это делается для того, чтобы важные данные не попали в руки удаленных хакеров.

Но эти меры безопасности могут оказаться бесполезными перед лицом новой техники, разработанной израильскими исследователями для скрытого извлечения конфиденциальных данных из изолированных машин — с использованием радиочастотных сигналов и мобильного телефона.

Атака напоминает метод, который АНБ тайно использовало в течение как минимум шести лет для аналогичного перекачивания данных. Каталог шпионских инструментов АНБ, просочившийся в сеть в прошлом году, описывает системы, которые используют радиочастотные сигналы для удаленного перекачивания данных из машин, находящихся в воздушном зазоре, с помощью приемопередатчиков — комбинированного приемника и передатчика — подключенных к компьютеру или встроенных в компьютер вместо мобильного устройства. Телефон. Сообщается, что шпионское агентство использовало этот метод в Китае, России и даже в Иране. Но точная техника для этого так и не была раскрыта.

Исследователи в Израиле не заявляют, что их метод используется АНБ, но Дуду Мимран, технический директор израильской лаборатории, стоящей за исследованием, признает, что если бы студенты-исследователи открыли метод использования радиосигналов для извлечения данных из жесткого диска -доступные системы, профессионалы с большим опытом и ресурсами, вероятно, тоже это обнаружили.

«Мы проводим исследования далеко позади людей [таких]», — сказал он WIRED. «Люди, которые этим занимаются, получают много денег и делают это [полный рабочий день]».

Названный «AirHopper» исследователями из Cyber Security Labs Университета Бен-Гуриона , метод проверки концепции позволяет хакерам и шпионам тайно перекачивать пароли и другие данные с зараженного компьютера с помощью радиосигналов, генерируемых и передаваемых компьютером и принимаемых им. мобильный телефон. Исследование проводили Мордехай Гури, Габи Кедма, Ассаф Кахлон и контролировал их советник Ювал Эловичи.

Атака частично заимствована из предыдущего исследования, показывающего, как радиосигналы могут генерироваться видеокартой компьютера.(.pdf). Исследователи из Израиля разработали вредоносное ПО, которое использует эту уязвимость, генерируя радиосигналы, которые могут передавать модулированные данные, которые затем принимаются и декодируются FM-радиоприемником, встроенным в мобильные телефоны. FM-приемники устанавливаются во многих мобильных телефонах в качестве резервного, в частности, для приема радиопередач, когда Интернет и сотовые сети не работают. Однако с помощью этой функции злоумышленники могут превратить повсеместное и, казалось бы, безобидное устройство в оригинальный шпионский инструмент. Хотя компания или агентство могут подумать, что они защитили свою сеть с воздушным зазором, отключив ее от внешнего мира, мобильные телефоны на рабочих столах сотрудников и в их карманах по-прежнему предоставляют злоумышленникам возможность доступа к секретным и другим конфиденциальным данным.

Исследователи протестировали два метода передачи цифровых данных через аудиосигналы, но наиболее эффективным оказался метод звуковой частотной манипуляции (A-FSK).

«Каждая буква или символ были введены с другой звуковой частотой», — отмечают они в опубликованном на прошлой неделе документе, в котором описывается их техника. «Используя менее 40 различных звуковых частот, мы смогли закодировать простые текстовые данные — как алфавитные, так и числовые. Этот метод очень эффективен для передачи коротких текстовых сообщений, таких как идентификаторы, нажатия клавиш, сообщения keep-alive и уведомления. «

Данные могут быть получены мобильным телефоном на расстоянии до 23 футов и затем переданы по Wi-Fi или сотовой сети на командный сервер злоумышленника. Собственный мобильный телефон жертвы может быть использован для приема и передачи украденных данных, или злоумышленник, скрывающийся за пределами офиса или лаборатории, может использовать свой собственный телефон, чтобы перехватить передачу.

«С соответствующим программным обеспечением совместимые радиосигналы могут генерироваться скомпрометированным компьютером, используя электромагнитное излучение, связанное с видеоадаптером», — пишут исследователи. «Эта комбинация передатчика с широко используемым мобильным приемником создает потенциальный скрытый канал, который не контролируется обычными средствами безопасности».

Исследователи отмечают, что цепочка атак «довольно сложна», но она не выходит за рамки навыков и способностей, уже замеченных в сложных атаках, проводимых хакерами в Китае и других странах. Или АНБ.

Как правило, наиболее распространенным методом заражения машин с воздушными зазорами является флэш-накопитель USB или другой съемный носитель. После заражения одной машины с воздушным зазором вредоносное ПО может распространиться на другие машины в сети с воздушным зазором. Данные могут быть извлечены таким же образом, хотя это более сложная задача. Вредоносная программа хранит украденные данные на машине до тех пор, пока не будет вставлена флешка, после чего данные будут скопированы на диск. Когда флеш-накопитель затем вставляется в другой компьютер, подключенный к Интернету, данные передаются обратно в центр управления и контроля злоумышленников. Однако этот метод требует времени, так как он требует от злоумышленника подождать, пока кто-нибудь вставит флэш-накопитель в машину с воздушным зазором и перенесет ее на машину, подключенную к Интернету.

Однако AirHopper не требует повторения подобных действий после установки вредоносного ПО. Злоумышленнику нужно только загрузить свой вредоносный код передатчика на целевую машину, а затем либо установить компонент вредоносного приемника на мобильный телефон жертвы, либо использовать собственный мобильный телефон злоумышленника в непосредственной близости от компьютера, чтобы получить данные и передать их злоумышленнику. командно-административный сервер. Вредоносное ПО может быть запрограммировано на хранение перекаченных данных на зараженной машине для последующей передачи через определенные часы или интервалы. Исследователи также разработали методы скрытия передачи данных на целевой машине, чтобы избежать обнаружения.

Хотя расстояние для передачи данных с зараженного компьютера на мобильный телефон ограничено — из-за ограничений приемника в телефонах — злоумышленники могут использовать более мощный портативный приемник, установленный, например, на парковке или установленный на дрон, летящий над головой, чтобы собирать данные с больших расстояний.

Однако есть и другие ограничения. Проверка концепции позволяет передавать данные со скоростью всего 60 байт в секунду — примерно строка текста в секунду — что ограничивает скорость и объем, с которыми злоумышленники могут перекачивать данные. Но Мимран отмечает, что со временем таким способом все еще можно извлечь много конфиденциальных данных.

Извлечение документов «будет очень медленным и долгим, — признает Мимран, — но эта [демонстрация] — всего лишь доказательство концепции. Я думаю, плохие люди могут сделать ее более сложной».

Действительно, каталог средств наблюдения АНБ, просочившийся в прошлом году , известный как каталог ANT, описывает нечто, называемое Cottonmouth-I , аппаратный имплант, который напоминает обычный USB-штекер, за исключением того, что в него встроен крошечный приемопередатчик под названием HowlerMonkey. извлечение данных с помощью радиочастотных сигналов. По данным New York Times , которая опубликовала дополнительную информацию о Cottonmouth-I, трансивер передает украденные данные на полевую станцию или ретрансляционную станцию АНБ размером с портфель, называемую тумбочкой, которая может быть расположена на расстоянии до восьми миль. Как только данные получены ретрансляционной станцией, они передаются в Центр удаленных операций АНБ. Доступный с 2009 года, Cottonmouth-1 продается упаковками по 50 штук примерно за 1 миллион долларов.

Этот метод извлечения данных, возможно, использовался в Иране для перекачивания разведывательной информации о ядерной программе, сообщает Times — возможно, в рамках подготовки к атаке Stuxnet, в результате которой были выведены из строя компьютеры, управляющие центрифугами, используемыми для обогащения уранового газа в Иране.

Однако для подключения USB-разъема требуется физический доступ к целевому компьютеру в полевых условиях, или жертва должна непреднамеренно вставить USB-разъем в компьютер, прежде чем может произойти передача. Альтернативный метод, просочившиеся примечания к документу, — это встраивание крошечных печатных плат в целевой компьютер для передачи. Одним из способов компрометации машины может быть перехват нового оборудования по пути к клиенту, чтобы оно прибыло к жертве, уже оснащенной для передачи украденных данных. Согласно документу, опубликованному Times , радиочастотный трансивер также может использоваться для имплантации вредоносного ПО в целевую систему, а не только для извлечения из нее данных.

Радиочастотные взломы трудно предотвратить, если не считать физической изоляции компьютеров и кабелей, чтобы излучатели не улавливались приемниками. Это может быть удобно для военных и других секретных объектов, но не для коммерческих компаний, которые пытаются защитить конфиденциальные данные от таких атак. Запрет мобильных телефонов на рабочих местах не поможет, поскольку для извлечения данных вместо мобильных телефонов можно использовать внешние приемники.

«Мы раскрываем, что существует эта опасность, — говорит Мимран, — но самая большая проблема, над которой мы действительно усердно работаем, — это найти ее смягчение. Судя по предварительным результатам, это непросто».

Оставьте комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *