Читаем Старший брат следит за тобой. Как защитить себя в цифровом мире полностью

Если компьютерная система используется на критически важных объектах или в системе безопасности предприятия, даже просто вывод клавиатуры/мыши из строя может привести к катастрофическому ущербу[769].

Взлом изолированных систем

В некоторых случаях, охотясь за особенно ценной информацией, хранящейся на компьютерах, хакеры пытаются получить доступ и к системам, изолированным от интернета, подключенным к интранет-сетям или вовсе не имеющим сетевого подключения. При этом злоумышленник может похитить данные и без проникновения в охраняемый периметр и физического доступа к машине с ценной информацией. Известны способы извлечения данных с таких компьютеров с помощью других девайсов, например смартфонов, используемых в том же помещении. Для атаки необходимо связать компьютер и смартфон с помощью вредоносных приложений, одно из которых (на компьютере) будет передавать данные, а другое (на мобильном устройстве) – принимать. Основная трудность такой атаки заключается в инфицировании обоих устройств: не только смартфона, выносимого за пределы охраняемой территории, но и компьютера, непрерывно находящегося в защищенном периметре.

Специалисты по ИБ из Исследовательского центра кибербезопасности Университета имени Бен-Гуриона в Негеве (Израиль) представили несколько разработок, позволяющих извлекать данные из изолированных систем.

Одна из них – приложение GSMem, результаты работы которого записываются по определенным адресам в оперативной памяти, а затем передаются в виде электромагнитных сигналов на приемник, которым может служить простейший мобильный телефон, в том числе не подключенный к сотовой сети/интернету. Таким образом можно извлечь короткие фрагменты данных, например пароли и ключи шифрования[770].

В другом случае в качестве передающей стороны может использоваться HDD зараженного компьютера. Разработанное исследователями вредоносное приложение DiskFiltration манипулирует позиционером диска, заставляя его двигаться определенным образом и издавать звуки в определенном порядке, передавая бинарные данные, которые фиксируются устройством, способным записывать звук, например смартфоном или «умными» часами[771].

Приложение Fansmitter позволяет передавать данные посредством звуков, издаваемых компонентами компьютера, только в данном случае передатчиком выступает кулер, установленный на процессоре, видеокарте или в корпусе. Если предыдущая атака – DiskFiltration невозможна на компьютерах, не оборудованных HDD (по причине использования, к примеру, SSD-накопителей), то кулеры, по крайней мере для охлаждения процессора, устанавливаются почти во все компьютеры. Изменяя скорость вращения вентилятора, приложение Fansmitter позволяет передавать данные в виде единиц и нулей с целью кражи паролей и прочей важной информации с изолированных машин[772].

Другая разработка исследователей из Университета имени Бен-Гуриона называется AirHopper и предназначена для передачи и регистрации данных, например, о нажатии клавиш на компьютере с помощью электромагнитного излучения видеокарты, установленной в инфицированной машине[773].

Еще одна разработка связана со светодиодами, используемыми как индикаторы работы жестких дисков в стационарных компьютерах и ноутбуках. С помощью приложения LED-it-GO инфицированный компьютер может передавать данные, включая и выключая индикатор жесткого диска в определенной последовательности (светится – единица, погас – ноль). Регистрация световых сигналов производится с помощью любой камеры, например установленной на квадрокоптере, парящем рядом с офисным зданием и «подсматривающем» в окно[774]. Аналогичным образом могут использоваться светодиоды и других устройств: клавиатур[775], мониторов и сетевого оборудования (например, в изолированной интранет-сети) и т. д.[776]

Если к целевому компьютеру подключены наушники, то их также можно использовать для кражи данных. В частности, с помощью наушников можно записывать окружающие звуки даже на компьютерах, не оборудованных микрофонами, если превратить выход звуковой карты во вход с помощью специального приложения, такого как Speake(a)r. В ходе атаки наушники превращаются в микрофон, так как имеют похожую конструкцию, и позволяют улавливать колебания воздуха, генерируемые источниками звука в радиусе до 6 м[777].

Также исследователи разработали атаки под названием MOSQUITO: локальные файлы на инфицированной машине преобразуются в аудиосигналы, которые через колонки или наушники передаются на приемник на едва слышимых или даже ультразвуковых частотах[778].