CASPER — новый вектор атаки для извлечения данных с изолированных устройств

CASPER — новый вектор атаки для извлечения данных с изолированных устройств

Специалисты Университета Корё представили новый вектор атаки под названием CASPER. С его помощью условный злоумышленник может передать данные с физически изолированных компьютеров на ближайший смартфон со скоростью 20 бит в секунду.

CASPER задействует установленные в целевом компьютере динамики в качестве канала передачи данных. Так ему удаётся отправить высокочастотный звук, который не может распознать человеческое ухо, и передать двоичный код или данные в виде азбуки Морзе на микрофон, расположенный на расстоянии до 1,5 м.

Принимающий информацию микрофон может находиться в смартфоне, который будет записывать звук в кармане злоумышленника. Кроме того, можно поставить ноутбук в комнате с целевым устройством.

Здесь исследователи завязали вектор атаки именно на внутренние динамики изолированного устройства, подающие определённые звуковые сигналы. Как правило, компьютеры с «воздушным зазором» используются на критически важных объектах (правительственные сети, энергетическая инфраструктура и т. п.), поэтому они не оснащаются внешними динамиками.

CASPER не отличается от других подобных атак начальным этапом: некий недобросовестный сотрудник сначала должен заразить целевой компьютер вредоносной программой. Это также может сделать и человек со стороны, только ему придётся тайно проникнуть в комнату с устройством.

Многие скептически относятся к такому методу, но ранее уже встречалась его успешная реализация — червь Stuxnet.

Установленный вредонос может взаимодействовать с файловой системой, находить определённые файлы или типы файлов и вытаскивать их из ОС. Помимо этого, зловред может выполнять функции кейлогера.

В результате программа будет кодировать данные, которые необходимо получить из изолированного устройства, в двоичном коде или в виде азбуки Морзе, затем — передавать их через внутренний динамик с помощью частотной модуляции. Всё это вредонос укладывает в незаметный ультразвук в диапазоне от 17 кГц до 20 кГц.

 

В ходе исследования специалисты использовали компьютер на базе Linux (Ubuntu 20.04) в качестве целевого устройства и Samsung Galaxy Z Flip 3 — как принимающий данные девайс. Находящийся на расстоянии 50 см смартфон смог распознать слово «covert» в передаваемых азбукой Морзе данных.

 

У CASPER есть и минусы, о которых пишут сами исследователи:

«Наш метод, безусловно, передаёт данные медленнее, чем другие атаки по скрытым каналам. Такие ограничения диктуются отправкой данных с помощью звука — он не так быстр, как оптические или электромагнитные векторы».

Напомним, в конце прошлого года мы рассказывали о COVID-bit — очередном способе кражи данных из изолированных систем.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В Android устранили дыру, фигурирующую в атаках шпионов с декабря 2022-го

Google выпустила очередные ежемесячные обновления для мобильной операционной системы Android. В этот раз разработчики устранили 56 уязвимостей, пять из которых признаны критическими, а одна используется в кибератаках с декабря 2022 года.

Набор обновлений под номером 2023-06-05 содержит патч для бреши под идентификатором CVE-2022-22706. Она затрагивает драйвер уровня ядра Mali GPU и используется в реальных атаках кибершпионов.

«Мы видим признаки эксплуатации CVE-2022-22706 в кибератаках», — говорится в примечаниях Google к выпуску патчей. Кроме того, CISA также отмечало опасность CVE-2022-22706 ещё в марте.

По шкале CVSS уязвимость получила 7,8 балла из 10. Она позволяет пользователю с низкими правами получить доступ на запись к тем страницам памяти, которые предназначены только для чтения (read-only).

Как отметили в Arm, проблема актуальна для следующих версий драйвера уровня ядра:

  • Midgard GPU Kernel Driver: все версии с r26p0 по r31p0
  • Bifrost GPU Kernel Driver: все версии с r0p0 по r35p0
  • Valhall GPU Kernel Driver: все версии с r19p0 по r35p0

Arm устранила уязвимость в Bifrost и Valhall GPU Kernel Driver r36p0, а также в Midgard Kernel Driver r32p0, однако патчи дошли до стабильной версии Android только сейчас. Например, Samsung избавилась от CVE-2022-22706 с майскими патчами.

Что касается других критических брешей в Android, информация по ним такая:

  1. CVE-2023-21127 — возможность удалённого выполнения кода в Android Framework. Затрагивает Android 11, 12 и 13.
  2. CVE-2023-21108 — возможность удалённого выполнения кода в Android System. Затрагивает Android 11, 12 и 13.
  3. CVE-2023-21130 — также возможность удалённого выполнения кода в Android System, но затрагивает только Android 13.
  4. CVE-2022-33257 — критическая брешь неустановленного типа, затрагивающая компоненты Qualcomm с закрытым исходным кодом.
  5. CVE-2022-40529 — также критический баг, затрагивающий компоненты Qualcomm с закрытым исходным кодом.
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru