COVID-bit — новый способ кражи данных из изолированных систем

Екатерина Быстрова 12 Декабря 2022 - 10:59

Корпорации

Государство

Утечки информации

Умышленные утечки информации

Кража данных

...

COVID-bit — новый способ кражи данных из изолированных систем

Новый метод кибератаки на изолированные системы, получивший имя COVID-bit, использует электромагнитные волны для передачи данных. В результате атакующему нужно находиться приблизительно в двух метрах для получения информации с закрытых систем.

Злоумышленнику нужно «вооружиться» смартфоном или ноутбуком, который поможет принять данные, даже если между ним и атакуемым устройством находится стена.

Технику COVID-bit разработал специалист университета им. Бен-Гуриона в Негеве, Израиль, Мордехай Гури. В прошлом этот же эксперт рассказывал о способе обхода air gap с помощью SATA-кабеля, который использовался как радиоантенна.

Поскольку физически изолированные компьютеры работают на критически важных объектах (госсектор, энергетическая инфраструктура и т. п.), их отключают от публичных сетей из соображений безопасности. Именно поэтому способы кражи информации с таких устройств интересны как для исследователей, так и для хорошо подготовленных киберпреступников.

Как правило, для успешной атаки злоумышленник сначала должен получить физический доступ к изолированному компьютеру и установить в систему кастомную вредоносную программу. Среди ярких примеров подобных кибератак можно привести кампании Stuxnet.

Для реализации COVID-bit атакующему нужно создать программу, способную регулировать нагрузку центрального процессора и частоту его ядер. Причём это необходимо делать таким образом, чтобы заставить блоки питания компьютеров с воздушным зазором выдавать электромагнитное излучение в низкочастотном диапазоне (0–48 кГц).

«Основным источником электромагнитного излучения в стабилизаторе напряжения является внутренняя конструкция и характеристики переключения», — пишет Мордехай Гури в отчёте (PDF).

«При преобразовании переменного тока в постоянный (AC-DC) и постоянного тока с одного уровня напряжения на другой (DC-DC) компоненты MOSFET включаются и выключаются на определенных частотах, что создаёт меандр (сигнал прямоугольной формы)».

При этом волна может нести пейлоад или необработанные данные за последовательностью из восьми битов, означающих начало передачи.

Получателем такой информации может стать смартфон с небольшой рамочной антенной, подключенной к аудиоразъему 3,5 мм (можно сделать в виде наушников), или ноутбук. С помощью девайса может перехватить передачу данных, далее — воспользоваться фильтром шумоподавления, демодулировать «сырые» данные и расшифровать их.

Защита от COVID-bit очевидна: необходима жёстко ограничить доступ к изолированному компьютеру, чтобы ни у кого не было возможности установить вредоносную программу.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 19 Января 2026 - 20:04

САКУРА Корпорации Сетевая безопасность Системы контроля сетевого доступа Системы защиты от утечек конфиденциальной информации (DLP)Системы мониторинга событий безопасности Системы мониторинга эффективности сотрудников Средства управления информационной безопасностью Системы реагирования и управления инцидентами (IRP) ИТ-Экспертиза (IT-Expertise)

САКУРА 2.37.2 получила поддержку Wayland и Astra Linux МКЦ

Компания «ИТ-Экспертиза» выпустила обновлённую версию программного комплекса информационной безопасности САКУРА 2.37.2. В релизе разработчики сосредоточились на расширении функциональности, повышении стабильности и доработке инструментов контроля рабочих мест.

Одним из ключевых изменений стала поддержка протокола Wayland в Linux. Это расширило список совместимых дистрибутивов и позволило сделать работу агентов более стабильной и менее ресурсоёмкой — что особенно важно для рабочих станций с ограниченными аппаратными возможностями.

Кроме того, агент САКУРА теперь совместим с Astra Linux в режиме мандатного контроля целостности (МКЦ). Благодаря этому программный комплекс можно использовать в средах с повышенными требованиями к безопасности — в том числе в корпоративных и государственных инфраструктурах, где необходим дополнительный уровень защиты.

В системе отчётности появилось небольшое, но практичное улучшение: в отчётах об установленном ПО добавлен фильтр «архивности» рабочих мест. Он позволяет исключать устаревшие или неактуальные данные, упрощая аналитику и помогая точнее оценивать потребности в лицензиях.

Разработчики также поработали над внутренними механизмами. Был повышен надёжность и скорость передачи метрик с агента на сервер, за счёт чего система быстрее реагирует на нарушения и сокращает время между обнаружением проблемы и её устранением. Доработана интеграция с OpenVPN: агент теперь получает имя VPN-пользователя из сертификата, что упрощает управление доступом для удалённых сотрудников и делает его более прозрачным.

Ещё одно заметное изменение касается пользовательских уведомлений. В версии 2.37.2 реализован единый механизм оповещений на рабочих станциях с использованием кросс-платформенного фреймворка Fyne. Это позволило унифицировать внешний вид уведомлений в Windows, macOS и Linux и снизить зависимость от нативных библиотек.

В обновлении также исправлен ряд ошибок. В частности, устранена проблема, из-за которой мог игнорироваться параметр уведомления пользователей при нарушении правил контроля. Исправлены сбои при восстановлении VPN-соединений через КриптоПро NGate, а также некорректное отображение пользовательских уведомлений для собственных правил контроля.

Группа компаний «ИТ-Экспертиза» занимается разработкой и внедрением решений в сфере информационной безопасности, а программный комплекс САКУРА входит в Реестр отечественного ПО. Новый релиз продолжает развитие продукта в сторону более гибкой работы с Linux-средами, удалённым доступом и высокозащищёнными ИТ-ландшафтами.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »