Полезные данные, взломанные с изолированного компьютера

Демонстрация атаки. Рабочая станция с изолированным компьютером обрабатывает секретное изображение (Оптимус Прайм). Атака по скрытому каналу RAMBO передает изображение с помощью электромагнитных волн. Удаленный злоумышленник перехватывает информацию и восстанавливает секретное изображение. Источник: arXiv (2024). DOI: 10.48550/arxiv.2409.02292

Группа инженеров программного обеспечения и информационных систем в Университете имени Бен-Гуриона в Негеве, в Израиле, продемонстрировала способность извлекать полезные данные из изолированного компьютера. Группа опубликовала статью в arXivсервер препринтов, описывающий их эксперименты и результаты.

За последние несколько лет хакеры попали в заголовки, проникая в компьютерные системы, используемые для государственных услуг, например, для мониторинга оборудования для очистки воды. Другие проводили атаки типа «отказ в обслуживании» на более крупные системы или, что еще более нагло, атаки с использованием программ-вымогателей на больницы или другие критически важные системы обслуживания.

У них всех есть одна общая черта — подключение к Интернету, что заставляет некоторых задуматься, почему такие сайты пользователей подключаются к Интернету, если это делает их такими уязвимыми. В этой новой работе исследовательская группа в Израиле обнаружила, что даже компьютеры, не подключенные к Интернету, могут быть уязвимы для атак.

Компьютеры, не подключенные к другой сети или Интернету, называются изолированными — между ними и любым другим компьютером нет ничего, кроме пустого воздуха. Такие системы кажутся неуязвимыми для атак, особенно с учетом того, что дисководы больше не используются. Но это не всегда так, как продемонстрировали исследователи.

Чтобы показать, что можно взломать изолированный компьютер, исследователи разработали тип вредоносного ПО, которое манипулирует оперативной памятью на целевом компьютере, генерируя очень слабые радиосигналы. Программное обеспечение было разработано таким образом, что генерируемые радиоволны отражали данные, хранящиеся на устройствах оперативной памяти, и кодировались таким образом, чтобы их можно было прочитать с ближайшего устройства.

Исследователи проверили свою идею, заразив изолированный компьютер, а затем разместив другое устройство достаточно близко, чтобы прослушивать радиоволны, излучаемые тестовым компьютером. Затем сигналы были декодированы, и содержащиеся в них сообщения были обнаружены программным обеспечением, запущенным на втором компьютере. При таком подходе команда обнаружила, что они могут захватывать пароли, нажатия клавиш и другие типы данных, а в некоторых случаях даже небольшие изображения.

Исследовательская группа признает, что взломать компьютер таким образом в реальном мире было бы сложно, но они также отмечают, что это не было бы невозможно.

Дополнительная информация: Мордехай Гури, RAMBO: Leaking Secrets from Air-Gap Computers by Spelling Covert Radio Signals from Computer RAM, arXiv (2024). DOI: 10.48550/arxiv.2409.02292

Информация о журнале: arXiv