Кража данных с изолированных систем через излучение Ethernet-кабелей
Раскрыт новый механизм извлечения данных, в котором Ethernet-кабеля задействуются в качестве «передающих антенн», позволяя незаметно выкачивать чувствительную информацию с физически отделенных систем.
«Интересно, что провода, призванные защитить изолированные системы, сами стали их уязвимым местом». — говорит Д-р Мордехай Гури, глава R&D в Центре исследований кибербезопасности при Университете им. Бен-Гуриона в Негеве, Израиль.
Прозванная «LANtenna attack», новейшая техника позволяет малвари собирать на физически изолированных компьютерах чувствительные данные, после чего передавать их в кодированном виде через радиоволны, испускаемые Ethernet-кабелями, как если бы те были антеннами. Переданные сигналы перехватываются расположенной поблизости программно определяемой радиосистемой (SDR), которая их декодирует и пересылает злоумышленнику, находящемуся в соседнем помещении.
«Примечательно, что вредоносный код может запускаться в типичном процессе пользовательского режима и успешно работать из-под виртуальной машины». — сообщили исследователи в сопроводительном документе, названном «LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables».
Air-gap сети (сети с «воздушным зазором») проектируются с целью обеспечения безопасности и минимизации рисков утечки информации. Осуществляется это за счет физического отделения одного или нескольких компьютеров от других сетей, таких как интернет или локальные сети. Как правило, отделяемые в такой кластер машины соединяются кабелями, поскольку все их беспроводные системы связи отключаются или удаляются вовсе.
Это уже далеко не первый раз, когда Д-р Гури демонстрирует незаурядный способ кражи чувствительных данных с физически изолированных компьютеров. В феврале 2020 года исследователь продемонстрировал метод, основанный на малейших незаметных для невооруженного взгляда изменениях яркости ЖК-дисплеев. С их помощью Гури смог скрытым образом модулировать двоичную информацию в виде паттернов, подобных кодировке Морзе.
Затем в мае того же года он показал, как вредоносное ПО может эксплуатировать блок питания компьютера для генерации аудио сигналов за счет эффекта «поющего конденсатора». Этот вид атаки получил название «POWER-SUPPLaY» и потенциально может применяться на изолированных устройствах, лишенных стандартных средств воспроизведения звука.
Наконец, в декабре 2020 года Гури продемонстрировал атаку «AIR-FI», задействующую Wi-Fi сигналы в качестве скрытого канала для извлечения конфиденциальной информации в условиях отсутствия на целевых системах оборудования Wi-Fi. Трюк в том, что вредонос на зараженной системе получает управление шинами DDR SDRAM, через которые генерирует электромагнитное излучение на типичной для Wi-Fi частоте 2,4 ГГц, передавая вместе с тем закодированную информацию. Далее эти сигналы перехватываются любым подходящим приемником с Wi-Fi (смартфон, ноутбук, IoT-устройство) и передаются на удаленный сервер злоумышленника.
Атака LANtenna полностью аналогична в том смысле, что работает через внедренный в изолированную рабочую станцию вредонос, генерирующий через Ethernet-кабель ЭМ-излучение в диапазоне 125МГц, которое затем модулируется и перехватывается находящимся рядом радиоприемником. В подтверждающем демо-тесте было продемонстрировано успешное получение отправленных таким образом данных на расстоянии 200 см от изолированной системы.
Как и в случае с другими подобными атаками, для реализации этого метода необходимо развернуть в целевой сети вредонос. Делается это любым из типичных способов, начиная с атак на цепочку поставок или использования зараженных USB-дисков до применения социальной инженерии, кражи учетных данных или внедрения в организацию своих людей.
В качестве контрмер исследователи предлагают запретить использование радиоприемников рядом с изолированными сетями и мониторить канальный уровень сетевых карт на предмет наличия скрытых каналов. Помимо этого, рекомендуется использовать подавители сигналов, а также металлическое экранирование проводов от ЭМ-излучения.
«Эта работа показывает, что атакующие могут эксплуатировать Ethernet-кабеля для извлечения данных из физически изолированных систем, — пишут исследователи. — Вредоносное ПО, установленное на безопасную рабочую станцию, ноутбук или встроенное устройство, может породить различную сетевую активность, генерирующую ЭМ-излучение через Ethernet-кабели».
Сам же Д-р Гури по этому поводу добавляет следующее:
«Выделенные и дорогостоящие антенны способны дополнительно увеличить возможный радиус действия, который в случае с некоторыми кабелями сможет достигать десятков метров».
