Тестовая вредоносная программа aIR-Jumper подтвердила возможность обхода защиты изолированных сетей и приема-передачи данных из них. Для этого нужны камеры безопасности и ИК-светодиоды, которые за счет разбора потока данных на вспышки света могут вести обмен друг с другом.
Тестовая вредоносная программа aIR-Jumper подтвердила возможность обхода защиты изолированных сетей и приема-передачи данных из них. Для этого нужны камеры безопасности и ИК-светодиоды, которые за счет разбора потока данных на вспышки света могут вести обмен друг с другом.
Этот метод атаки придумали и реализовали исследователи М. Гури и Ю. Еловичи из Университета имени Бен-Гуриона при участии Д. Быховского (Инженерный колледж «Сами Шамун»). Ранее на этой неделе они опубликовали результаты своих исследований.
«Преступники могут установить скрытую двустороннюю связь со внутренней сетью организации с помощью камер наблюдения и инфракрасных светодиодов», — пишут исследователи.
Чтобы произвести атаку, нужно выполнить ряд сложных требований. Прежде всего, целевая изолированная сеть должна быть уже заражена зловредом aIR-Jumper. Кроме того, к инфицированной сети должны быть подключены камеры наблюдения, находящиеся в поле зрения злоумышленников, расположившихся снаружи объекта. При таких условиях зловред сможет проникнуть в программные интерфейсы (API) камеры, чтобы модулировать ИК-сигналы для передачи данных и обработки сигналов с внешних ИК-светодиодов в виде команд.
«Можно управлять инфракрасной подсветкой камер наблюдения через соответствующий API, встроенный в прошивку. Наиболее простой способ управления — переключение состояния ИК-светодиодов через веб-интерфейс камеры. Пользователь может переключить ночное видение в ручной или автоматический режим, чтобы включать и выключать ИК-светодиоды и задать силу ИК-подсветки», — поясняют авторы.
В одном из сценариев зловред aIR-Jumper можно перепрограммировать на поиск конфиденциальных данных внутри изолированной сети. Собранная информация при этом извлекается через ночную ИК-подсветку камеры безопасности, которая незаметна невооруженным глазом.
В демонстрационном видео атаки злоумышленник находился в поле зрения мерцающего ИК-светодиода видеокамеры. В световых сигналах закодированы единицы и нули исходных данных. Затем атакующий записывал последовательность мерцающей подсветки и при воспроизведении раскодировал вспышки как единицы и нули, которые впоследствии образовывали читаемые файлы.
«По нашим оценкам, скрытый канал связи позволяет незаметно извлекать данные организации с каждой камеры наблюдения на расстоянии десяти метров на скорости 20 бит/с», — заявляют исследователи.
Схожим образом атакующий может использовать удаленный ИК-свет, видимый камерой наблюдения, чтобы скрытно передавать данные в сеть организации на скорости более 100 бит/с на каждую камеру наблюдения с расстояния около полутора километров. «Камера будет фиксировать поступающие сигналы, которые затем раскодирует зловред, присутствующий в сети», — отмечают авторы.
Авторы отчета несколько лет занимались проблемой взлома физически изолированных систем с помощью различных техник: оптической (xLED), электромагнитной (AirHopper), термальной (BitWhisper) и акустической (Fansmitter).
«В качестве технологических контрмер можно реализовать обнаружение вредоносного ПО, управляющего ИК-подсветкой камеры или перехватывающего изображение с камеры, — написали исследователи. — Аналогичным образом можно выявлять зловред на сетевом уровне, отслеживая трафик между хостами в сети и камерами наблюдения».