Mordechai Guri, Dima Bykhovsky, Yuval Elovici. aIR-Jumper: Covert Air-Gap Exfiltration/Infiltration via Security Cameras & Infrared (IR). Computers & Security

[nedomolkinaeyu]

No description provided.

[nedomolkinaeyu]

Скрытая эксфильтрация/проникновение в воздушный зазор через систему безопасности. Камеры и инфракрасный порт.

В этой статье мы показываем, как злоумышленники могут использовать камеры наблюдения и инфракрасный свет для установления двунаправленной скрытой связи между внутренними сетями организаций и удаленными злоумышленниками. Мы представляем два сценария: эксфильтрация (утечка данных из сети) и инфильтрация
(отправка данных в сеть).

Скрытые каналы Air-Gap — это особый тип скрытого канала, который может работать в сетях с воздушным зазором (т. е. это скрытый канал, который не требует сетевого подключения между злоумышленником и целевой сетью). В скрытых каналах с воздушным зазором злоумышленники могут утечь данные через различные типы излучения, излучаемого компьютером.

АТАКА
Мы вводим скрытый канал на основе ИК, который имеет отношение к двум сценариям; эксфильтрация и инфильтрация. В сценарии эксфильтрации информация просачивается из внутренних сетей организации к удаленному злоумышленнику. Такая информация включает в себя пароли, PIN-коды, ключи шифрования и данные регистрации ключей. В сценарии проникновения информация доставляется от удаленного злоумышленника во внутренние сети организации. Такая информация может состоять из сообщений C&C для вредоносных программ, находящихся в сети.

Для передачи использовалась профессиональная камера наблюдения Sony SNC-EM602RC. Эта камера представляет собой внутреннюю и наружную камеру со встроенными ИК-светодиодами, позволяющими просматривать объекты на расстоянии до 30 метров в полной темноте. Эта камера включает в себя 20 ИК-светодиодов с длиной волны ИК-излучения 850 нм. Камера имеет пять различных интенсивностей ИК-подсветки.

Общие превентивные контрмеры против оптического излучения могут включать политику, направленную на ограничение (оптической) видимости излучающего оборудования. В контексте нашей атаки организация может
разместить камеры наблюдения в зонах ограниченного доступа, оптически недоступных для злоумышленников. Этот тип контрмер менее актуален для камер наблюдения, которые намеренно направлены на общественные места (например, на улицу). Для внутренних камер возможна установка непрозрачной оконной пленки, препятствующей оптической видимости снаружи здания; обратите внимание, что этот тип контрмеры не защищает от внутренних атак или камер, расположенных внутри здания.

ИТОГИ
В сценарии эксфильтрации вредоносное ПО получает доступ к камере наблюдения в локальной сети и генерирует скрытые ИК-сигналы, управляя ИК-светодиодами. Двоичные данные модулируются, кодируются и передаются по этим сигналам. Злоумышленник с расстояния, находящегося в прямой видимости от камеры наблюдения, может получить ИК-сигналы и расшифровать двоичную информацию. В сценарии проникновения скрытые ИК-сигналы генерируются удаленным злоумышленником с помощью ИК-светодиодов. Затем эти сигналы принимаются камерой наблюдения и перехватываются вредоносными программами внутри сети.

[dpetruh]

Table 6 summarizes the maximal bit rate for the exfiltration channel for OOK and ASK modulation. The SNC-EM602RC camera was used for transmission, and five types of video cameras were used for the reception. For simplicity we used four levels of theIR illumination in the ASK modulation (out of five possible levels). The exfiltration channel is limited to 20 bit/sec with HOOK and 40 bit/sec for ASK modulation. This makes the exfiltration channel more suitable for the transmission of a small amount of data such as passwords, PINs, encryption keys, and so on.