Самоизоляция не поможет: компьютерный COVID достанет даже защищенных пользователей

Механизм COVID-bit использует вредоносное ПО, установленное на компьютере, для генерации электромагнитного излучения в диапазоне частот 0–60 кГц, которое затем улавливается незаметным приемником, находящимся на расстоянии 2 м. Технология COVID-bit разработана в этом году и предназначена для преодоления воздушных зазоров (Air Gap) и сбора конфиденциальных данных.

Сети с воздушным зазором, несмотря на их высокий уровень изоляции, могут быть скомпрометированы различными способами – с помощью зараженного USB-накопителя или ходе атаки на цепочку поставок. Из-за того, что изолированные системы не подключены к Интернету, злоумышленник должен разработать специальный метод для доставки украденной информации.

COVID-bit — это скрытый канал, который используется вредоносной программой для передачи данных с помощью ЭМ-излучения импульсного источника питания (SMPS) и частотной манипуляции (FSK) для кодирования двоичных данных. «Регулируя рабочую нагрузку ЦП, можно управлять его энергопотреблением и, следовательно, контролировать мгновенную частоту переключения компонента SMPS», — объясняет разработчик технологии др. Гури.

ЭМИ можно принимать на расстоянии с помощью антенн стоимостью $1, которые могут быть подключены к 3,5-мм аудиоразъему телефона для захвата низкочастотных сигналов с полосой пропускания 1000 бит/с. Затем излучения демодулируются для извлечения данных. При этом вредоносный код не требует повышенных привилегий и может быть выполнен из виртуальной машины.

Оценка скорости передачи данных показывает, что нажатия клавиш могут быть захвачены почти в реальном времени, а эксфильтрация IP- и MAC-адресов занимает от 0,1 до 16 секунд, в зависимости от скорости передачи данных.

Для защиты от такой атаки необходимо:

• проводить динамический анализ кодов операций для выявления угроз;
• инициировать случайные рабочие нагрузки на процессоры при обнаружении аномальной активности;
• проводить мониторинг или глушение сигналов в диапазоне 0–60 кГц.