Тестовая вредоносная программа aIR-Jumper подтвердила возможность обхода защиты изолированных сетей и приема-передачи данных из них. Для этого нужны камеры безопасности и ИК-светодиоды, которые за счет разбора потока данных на вспышки света могут вести обмен друг с другом.

Этот метод атаки придумали и реализовали исследователи Мордехай Гури (Mordechai Guri) и Ювал Еловичи (Yuval Elovici) из Университета имени Бен-Гуриона при участии Димы Быховского (Dima Bykhovsky‏) из Инженерного колледжа “Сами Шамун”. Ранее на этой неделе они опубликовали результаты своих исследований (PDF).

“Преступники могут установить скрытую двустороннюю связь со внутренней сетью организации с помощью камер наблюдения и инфракрасных светодиодов”, — пишут исследователи.

Чтобы произвести атаку, нужно выполнить ряд сложных требований. Прежде всего, целевая изолированная сеть должна быть уже заражена зловредом aIR-Jumper. Кроме того, к инфицированной сети должны быть подключены камеры наблюдения, находящиеся в поле зрения злоумышленников, расположившихся снаружи объекта. При таких условиях зловред сможет проникнуть в программные интерфейсы (API) камеры, чтобы модулировать ИК-сигналы для передачи данных и обработки сигналов с внешних ИК-светодиодов в виде команд.

“Можно управлять инфракрасной подсветкой камер наблюдения через соответствующий API, встроенный в прошивку. Наиболее простой способ управления — переключение состояния ИК-светодиодов через веб-интерфейс камеры. Пользователь может переключить ночное видение в ручной или автоматический режим, чтобы включать и выключать ИК-светодиоды и задать силу ИК-подсветки”, — поясняют авторы.

AirGap

В одном из сценариев зловред aIR-Jumper можно перепрограммировать на поиск конфиденциальных данных внутри изолированной сети. Собранная информация при этом извлекается через ночную ИК-подсветку камеры безопасности, которая незаметна невооруженным глазом.

В демонстрационном видео атаки злоумышленник находился в поле зрения мерцающего ИК-светодиода видеокамеры. В световых сигналах закодированы единицы и нули исходных данных. Затем атакующий записывал последовательность мерцающей подсветки и при воспроизведении раскодировал вспышки как единицы и нули, которые впоследствии образовывали читаемые файлы.

“По нашим оценкам, скрытый канал связи позволяет незаметно извлекать данные организации с каждой камеры наблюдения на расстоянии десяти метров на скорости 20 бит/с”, — заявляют исследователи.

Схожим образом атакующий может использовать удаленный ИК-свет, видимый камерой наблюдения, чтобы скрытно передавать данные в сеть организации на скорости более 100 бит/с на каждую камеру наблюдения с расстояния около полутора километров. “Камера будет фиксировать поступающие сигналы, которые затем раскодирует зловред, присутствующий в сети”, — отмечают авторы.

Эта технология позволяет модулировать, кодировать и передавать в виде ИК-сигналов конфиденциальные данные, такие как PIN-коды, пароли, ключи шифрования и перехваченные с клавиатуры данные, за пределы физически изолированной сети.

В другом сценарии проникновения удаленный злоумышленник передает во внутреннюю сеть организации команды управления зловредом aIR-Jumper, уже присутствующим в сети.

Авторы отчета несколько лет занимались проблемой взлома физически изолированных систем с помощью различных техник: оптической (xLED), электромагнитной (AirHopper), термальной (BitWhisper) и акустической (Fansmitter).

“В качестве технологических контрмер можно реализовать обнаружение вредоносного ПО, управляющего ИК-подсветкой камеры или перехватывающего изображение с камеры, — написали исследователи. — Аналогичным образом можно выявлять зловред на сетевом уровне, отслеживая трафик между хостами в сети и камерами наблюдения”.

Категории: Кибероборона, Уязвимости