Исследователи Университета Бен-Гуриона в Негеве нашли способ «сливать» данные с изолированных от Интернета компьютеров при помощи обычной USB-флешки через инфракрасное излучение.

Ученые из лаборатории исследования технологий кибербезопасности утверждают, что им удалось разработать программу под названием USBee, способную модулировать бинарные данные по электромагнитным волнам и транслировать информацию на расположенный поблизости приемник со скоростью от 20 до 80 байт в секунду.

Мордехай Гури (Mordechai Guri), ведающий университетскими исследованиями и разработками, рассказал, что инфицировать компьютер созданным командой зловредом не составит большого труда. Для этого понадобится участие инсайдера, который установит ПО на целевой компьютер; кроме того, хакер может воспользоваться элементами социальной инженерии, а также отправить в адрес пользователя целевого компьютера спам-сообщение с вредоносным вложением или документ с вредоносным макросом.

Исследование «USBee: Air-Gap Covert-Channel via Electromagnetic Emission from USB» («USBee: метод скрытой передачи данных с автономных компьютеров через электромагнитное излучение USB») было опубликовано в понедельник за авторством Гури и его коллег Матана Моница (Matan Monitz) и Ювала Еловичи (Yuval Elovici).

В видеоролике исследователи продемонстрировали, как компьютер, оснащенный антенной, может принимать данные на немодифицированный внешний USB-накопитель с компьютера, который даже не подключен к Интернету. Исследователи подчеркнули, что их метод использует исключительно программное обеспечение и не требует модификации прошивки.

Атака основана на свойствах электромагнитного излучения, похожего по свойствам на радиоволны сотовой связи и Wi-Fi; оно исходит от проводов, используемых USB-шиной, которую задействуют устройства для передачи данных. Исследователи выяснили, что при отправке данных на устройство можно создать «контролируемое» электромагнитное излучение, способное доставлять модулированные данные. Буфер данных на 6 Кбайт, обычно записываемый вместе с файлами на USB как произвольный блок, может генерировать сигналы, воспринимаемые приемником.

Это значит, что, если программа USBee установлена на целевой компьютер, злоумышленник может получать данные и декодировать их.

Так как целью атаки являются бинарные данные, хакер не сможет похищать большие файлы, но тем не менее может, например, украсть ключи, пароли и другие «легкие» файлы, пояснил Гури.

«При максимальной скорости от 50 до 80 байт в секунду атакующий может украсть ключ шифрования (например, диска), а также пароли, сведения о нажатых клавишах, небольшие текстовые файлы и так далее», — говорит исследователь.

В ходе эксперимента ученые использовали достаточно примитивный приемник — программируемый RTL-SDR-радиоресивер за $30, подключенный к ноутбуку. Код приема был основан на GNU Radio — открытом наборе разработчика, используемом при конструировании радиоприемников. Этот программный инструмент обрабатывает сигналы и способен принимать, конвертировать и демодулировать волны.

Данные модулируются при помощи бинарника FSK, а демодулируются при помощи алгоритма, конвертирующего сигнал из источника.

У этого вектора атаки есть свои недостатки, признают исследователи. Компьютеры, на которых записана критически важная или секретная информация, обычно содержатся в зонах с ограниченным доступом, где запрещено использование радиоустройств, к примеру приемников. Антивирусы или системы обнаружения вторжений могут детектировать повторяющиеся процессы, инициируемые USBee, или паттерны записи на устройства. Физическая изоляция USB-компонентов также может снизить эффективность электромагнитного излучения, говорит Гури. Также повлиять на успех атаки могут специальные экраны, снижающие уровень излучения.

Это не первый метод, использующий свойства USB-устройств для шпионажа в не подключенных к Сети средах. Когда в 2013 году был опубликован каталог инструментов слежки АНБ, в числе прочих средств шпионажа был упомянут COTTONMOUTH, при помощи которого спецслужбы связывались с автономным компьютером через USB-донгл, модифицированный инфракрасным приемопередатчиком. Эти сведения, оглашенные на конференции ShmooCon 2015, впоследствии послужили основой для создания TURNIPSCHOOL — микропроцессора, интегрированного с компонентами радиочасти на одной печатной плате внутри USB-кабеля, то есть по сути портативного набора для MiTM-атак.

Исследователи университета, расположенного в городе Биршеба в Израиле, за последние несколько лет изрядно отточили навыки взлома изолированных компьютеров.

Всего лишь несколько недель назад Гури, Еловичи и еще двое коллег опубликовали научную статью, объясняющую, как получать данные, детектируя движения считывающей головки жесткого диска. Техника, которую назвали DiskFiltration, может использоваться совместно с приемником и принимать акустические сигналы. Как и атака при помощи USBee, этот метод требует предварительного заражения целевого компьютера вредоносной программой.

В прошлом году Гури, Муниц и Еловичи описали технику BitWhisper, использующую нагрев для осуществления связи между автономными компьютерами. А за год до этого открытия Гури, Еловичи и два студента из Университета Бен-Гуриона описали, как можно сливать данные с автономного компьютера на мобильное устройство, не задействуя Wi-Fi или Bluetooth. Подобно тому как USBee декодирует инфракрасные сигналы, описанная исследователями программа AirHopper использовала штатный встроенный FM-приемник для декодирования радиосигналов с видеокарты компьютера.

Категории: Аналитика, Главное, Хакеры