Исследователи из Школы кибербезопасности Корейского университета в Сеуле представили новую атаку под названием “CASPER”. Она происходит по скрытому каналу и может передавать данные с компьютеров без всяких внешних подключений со скоростью до 20 бит/сек. Такие атаки преодолевают так называемый “воздушный зазор” (“Air Gap”) и применяются киберпреступниками там, где исключена возможность прямого подключения к целевому компьютеру физически или через сетевые протоколы.
Атака CASPER использует внутренний компьютерный спикер, подключенный к материнской плате, в качестве канала передачи данных. Благодаря специальному софту спикер может генерировать высокочастотный звук, не слышимый человеческому уху. Звук может быть закодирован в двоичный код или азбуку Морзе и транслироваться на внешний принимающий микрофон. Максимально поддерживаемое расстояние передачи сигнала равно 1,5 м, а сам микрофон может находиться как в смартфоне, так и в ноутбуке злоумышленника.
Исследователи ранее уже разрабатывали аналогичные атаки с использованием внешних компьютерных динамиков. Однако изолированные от сети системы, используемые в критических инфраструктурах, вряд ли будут оснащены внешними динамиками. Когда как внутренние спикеры, подающие звуковые сигналы при запуске компьютера или в случае неисправности оборудования, по-прежнему можно встретить во многих компьютерах даже на подобных предприятиях.
Как и в случае практически всех атак, преодолевающим “воздушный зазор” и нацеленным на изолированные от сети компьютеры, скрытный злоумышленник, имеющий физический доступ к целевому компьютеру, должен сначала заразить его вредоносным ПО. Например, через обычную USB-флешку. Этот процесс, как правило, занимает всего несколько секунд. Зато потом такой мини-шпион, “сидящий в компьютере” может передать преступнику множество полезной информации.
Хотя этот сценарий атаки может показаться непрактичным или даже надуманным, в прошлом уже было несколько громких случаев подобных атак. Ярким примером является червь Stuxnet, нацеленный на иранский завод по обогащению урана в Натанзе. А также вредоносная программа Agent.BTZ., заразившая военную базу США. Сюда же можно отнести модульный бэкдор Remsec, который более пяти лет тайно собирал информацию из закрытых правительственных сетей в разных странах Европы.
Вредоносное ПО может автономно исследовать файловую систему цели, находить конкретные файлы или типы файлов, которые соответствуют потребностям злоумышленника, и передавать их на принимающее устройство. Хотя с такой небольшой скоростью передачи данных (до 20 бит/сек), более реалистично, что спикер будет использоваться в качестве кейлоггера, транслируя нажимаемые на компьютере клавиши для похищения секретных паролей.
Программа, используемая в атаке CASPER, кодирует данные, которые необходимо тайно извлечь со скомпрометированного устройства, в двоичный код или азбуку Морзе. А затем передаёт их через внутренний спикер компьютера с помощью частотной модуляции. По итогу, данные передаются в виде неуловимого для человеческого уха ультразвука в частотном диапазоне от 17 кГц до 20 кГц.
Исследователи использовали с своём эксперименте компьютер на базе Linux Ubuntu 20.04 в качестве цели и Samsung Galaxy Z Flip 3 в качестве приёмника сигнала. Учёные много экспериментировали с частотой, длительностью сигнала и расстоянием, с которого этот сигнал может быть получен без помех. На основании проведенных тестов максимальное расстояние до приемника составило 1,5 метра. Однако для наиболее стабильной и быстрой передачи данных расстояние должно быть ещё меньше.
При такой скорости передачи данных вредоносное ПО может передать стандартный 8-символьный пароль примерно за 3 секунды, а 2048-битный ключ RSA – уже за 100 секунд. При этом на передачу обычного документа Microsoft Word размером, скажем, 10 КБ, потребуется уже более часа, даже если условия идеальны и во время передачи не происходит прерываний.
“Наш метод медленнее передает данные по сравнению с другими технологиями скрытых каналов, использующими оптические или электромагнитные методы, потому что скорость передачи данных по звуку физически ограничена”, – заявили южнокорейские исследователи.
Решением проблемы низкой скорости передачи данных, по словам учёных, было бы изменение полосы частот для нескольких одновременных передач, однако внутренние компьютерные спикеры могут воспроизводить звук только в одной полосе частот.
Исследователи также поделились способами защиты от атаки CASPER. Самым простым из них стало банальное извлечение внутреннего динамика из критически важных компьютеров. Однако если это невозможно, специалисты безопасности могут внедрить в компьютер фильтр верхних частот, чтобы удерживать все генерируемые частоты в пределах слышимого звукового спектра, блокируя передачу ультразвука. Таким образом потенциальные жертвы хотя бы услышат, как злоумышленник медленно, но верно похищает их данные.
Ранее мы уже писали о других типах атак по скрытым каналам с использованием техники воздушного зазора. Например, COVID-bit , разработанный в прошлом году, использовал блок питания компьютера для генерации электромагнитных волн, которые принимающее оборудование могло принимать на расстоянии двух метров.