Специалисты Университета имени Бен-Гуриона (находится в Израиле) обнаружили и протестировали очередной нестандартный способ хищения данных из изолированных ПК. Данная схема может использоваться для кражи конфиденциальной информации, включая различные пароли.
На этот раз в основе метода лежат физические свойства SATA-кабеля, которые позволяют превратить его в своеобразную антенну для излучения сигнала на частоте 6 ГГц. При этом для реализации схемы нет необходимости вносить конструктивные изменения в системный блок – все реализуется за счет ПО.
Стандарт SATA активно используется для подключения периферийных устройств к материнской плате (накопители, приводы оптических дисков). Кабель SATA, как и любой проводник, в процессе передачи данных генерирует слабое электромагнитное поле. Специалистам удалось разработать ПО, которое управляет таким электромагнитным излучением. Это позволяет сформировать сигнал, который может быть получен внешним устройством.
Созданная вредоносная программа после инсталляции на ПК первоначально старается не привлекать внимания, собирая нужные данные в фоновом режиме для последующей подготовки к отправке. Далее инициируется отправка серии запросов к накопителю, причем запросы выстроены таким образом, чтобы кабель излучал нужный сигнал. Тесты в реальных условиях показали, что для данных целей лучше подходят запросы на чтение данных – в этом случае уровень сигнала может достигать 3 дБ. К тому же операция чтения обычно не требует повышенных привилегий, в отличие от попыток записи.
Специалисты отметили, что метод продолжает работать даже при работе в фоновом режиме других приложений. Однако интенсивный обмен данными может затруднить передачу «чистого» сигнала. Поэтому вредоносное приложение должно иметь функцию приостановки такой активности.
В отчете также отмечается, что данная схема атаки хорошо сочетается с работой классических кейлоггеров. Такой тандем позволит похищать пароли, вводимые непосредственно с клавиатуры.
Несмотря на кажущуюся масштабность проблемы (SATA сегодня используется в миллиардах различных устройств), данный алгоритм кражи имеет ряд значительных ограничений.
В первую очередь, это сложность инсталляции вредоносной утилиты. По условиям эксперимента, атака осуществляется на компьютер, который не имеет физического подключения к локальной сети или интернету. Это означает, что на начальном этапе злоумышленнику необходим физический доступ к устройству. Также ограничения накладывает низкая мощность излучаемого сигнала – для стабильной работы приемник должен находиться не дальше одного метра от такого излучателя.
Также сразу очевидно, что от атак такого вида легко защититься – достаточно использовать экранирование кабеля или системного блока. Также несанкционированная активность приложения относительно легко детектируется специализированным ПО.
Специалисты университета имени Бен-Гуриона уже давно работают над нестандартными схемами атак на ПК, включая изолированные системы. К примеру, весной 2020 года они наглядно продемонстрировали возможность кражи данных при помощи графического ускорителя, который выполнял роль передатчика. В 2019 году была протестирована техника передачи данных при помощи управления индикаторами на клавиатуре (схема получила название Ctrl-Alt-LED).