یکی از پژوهشگران دانشگاه Ben Gurion رژیم صهیونیستی در Negev بهتازگی از بدافزار جدیدی رونمایی کرده است که میتواند برای سرقت دادههای بسیار حساس از سیستمهای air-gapped و audio-gapped با استفاده از ایجاد موج صوتی آکوستیک در واحدهای منبع تغذیه موجود در دستگاههای پردازشی پیشرفته مورد استفاده قرار گیرد.
آخرین پژوهش انجامشده روی مجموعهای از روشهایی که از کانالهای الکترومغناطیسی، صوتی، حرارتی و نوری مخفی و حتی کابلهای برق برای استخراج داده از رایانههای شبکه استفاده میکنند، POWER-SUPPLaY نام دارد.
این پژوهشگر تشریح کرد که بدافزار جدید میتواند از واحد منبع تغذیهی رایانه برای پخش صداها بهرهبرداری کند و از آن بهعنوان یک بلندگوی ثانویه با قابلیتهای محدود استفاده کند.
این کد مخرب، فرکانس سوئیچینگ داخلی منبع تغذیه را دستکاری میکند و شکل موجهای صوتی تولیدشده از خازنها و ترانسفورماتورهای آن را کنترل میکند.
این روش در انواع سیستمهای مختلف از جمله ایستگاههای کاری و سرورها و همچنین سیستمهای تعبیهشده و دستگاههای اینترنت اشیایی که هیچ سختافزار صوتی ندارند، کار میکند. دادهی دودویی از طریق سیگنالهای صوتی قابل مدوله شدن و انتقال است.
سیستمهای air-gapped برای کاهش خطر افشای اطلاعات در محیطهایی که دادههای حساس دارند، ضروری هستند. این دستگاهها بهطور خاص سختافزار صوتی خود را غیرفعال کردهاند تا مانع از استفادهی مهاجمان از بلندگوها و میکروفنها برای انتقال اطلاعات از طریق امواج صوتی و فراصوتی شوند.
همچنین ضروری است که هر دو دستگاه فرستنده و گیرنده در مجاورت فیزیکی یکدیگر قرار داشته باشند و برای ایجاد لینک ارتباطی، با بدافزار مناسبی آلوده شده باشند.
POWER-SUPPLaY به همان روشی که بدافزار درحال اجرا در یک رایانه میتواند از PSU بهره ببرد و از آن بهعنوان یک بلندگوی خارج از محدوده استفاده کند، عمل میکند، در نتیجه نیازی به سختافزار صوتی خاصی ندارد.
این روش امکان پخش جریانهای صوتی از یک رایانه را حتی در صورت غیرفعال بودن سختافزار صوتی و عدم وجود بلندگو نیز فراهم میکند. دادهی دودویی میتواند از طریق سیگنالهای صوتی مدوله و منتقل شود. سیگنالهای صوتی میتوانند توسط یک گیرندهی نزدیک که داده را مدوله و رمزگشایی میکند و آن را از طریق اینترنت به مهاجم ارسال میکند، دریافت شوند.
به عبارت دیگر، بدافزار air-gap بار کاری پردازندههای پیشرفته را تنظیم میکند تا مصرف انرژی و فرکانس سوئییچینگ PSU را برای انتشار یک سیگنال صوتی در محدودهی ۰-۲۴ کیلوهرتز و مدوله کردن دادهی دودویی کنترل کند.
سپس بدافزار موجود در رایانهی آسیبدیده نه تنها دادههای حساس را جمعآوری میکند، بلکه داده را در فرمت WAV و با استفاده از امواج صوتی آکوستیک منتشرشده از منبع تغذیهی رایانه که توسط گیرنده رمزگشایی میشود، انتقال میدهد.
بهگفتهی این پژوهشگر یک مهاجم میتواند با نرخ ۵۰ بیت بر ثانیه داده را از سیستمهای audio-gapped به تلفن همراه نزدیکی که در ۲٫۵ متری آن قرار دارد، استخراج کند.
یکی از پیامدهای نقض حریم خصوصی این حمله ردیابی cross-device است، زیرا این روش بدافزار را قادر میسازد که تاریخچهی مرور را در سیستم آسیبدیده ثبت کند و اطلاعات را به گیرنده ارسال کند.
این پژوهشگر پیشنهاد میکند که سیستمهای حساس در مناطق محدودی که تلفنهای همراه و سایر تجهیزات الکترونیکی ممنوع هستند، منطقهبندی شوند. داشتن یک سیستم تشخیص نفوذ برای نظارت بر رفتار مشکوک پردازنده و راهاندازی شناساگرهای سختافزاری سیگنال میتواند به دفاع در برابر کانال مخفی کمک کند.
با توجه به تجهیزات هستهای air-gapped در ایران و هند که دچار نقض امنیت شدهاند، پژوهش جدید یادآوری میکند که حملات supply chain پیچیده را میتوان علیه سیستمهای ایزوله انجام داد.
کد POWER-SUPPLaY میتواند از یک فرآیند معمولی حالت کاربر اجرا شود و به دسترسی سختافزاری یا امتیازات روت نیاز ندارد.