Лабораторный ПК без сети, без флешек и без удалённого доступа внезапно оказался источником утечки. Исследователи из Шаньдунского университета показали, что вредонос на таком компьютере может вывести данные наружу через обычный видеокабель и почти незаметные изменения картинки на экране.

Что произошло

Атаку назвали TrojPix. Она относится к классу side-channel атак — то есть злоумышленник не ломает защиту напрямую, а использует побочный канал, который сам по себе не задумывался как средство передачи данных.

В опубликованном описании говорится, что в экспериментах скорость передачи доходила до 8,1 Мбит/с, а дальность — до 208 метров. Это уже не экзотика для узкой лаборатории, а очень неприятный сценарий для организаций, которые держат чувствительные машины в изоляции.

Как это работает

Схема упирается в экран и видеокабель. Вредоносное ПО меняет пиксели так, чтобы эти изменения не бросались в глаза человеку, но создавали слабый электромагнитный сигнал в кабеле. Рядом ставят приёмник, который ловит это излучение и декодирует данные.

Авторы подчёркивают, что TrojPix не требует прав администратора и не лезет в железо. Достаточно, чтобы изолированный компьютер уже оказался заражён обычной малварью с правами пользователя. Дальше экран и кабель становятся каналом для вывода информации.

Есть и маскировка. В одном варианте атака имитирует чёрный экран: со стороны кажется, что монитор просто выключен, хотя передача идёт. В другом полезная нагрузка прячется прямо в обычное изображение, не оставляя заметных артефактов.

Похожую проблему мы уже видели в других сценариях утечки данных через побочные каналы. Например, в разборе уязвимостей, которые приводят к утечке данных на хосте хорошо видно, что слабое место часто оказывается не в «дырке» как таковой, а в цепочке вокруг неё.

Кого это касается и чем грозит

Первый адресат такой атаки — организации, где есть изолированные рабочие места: лаборатории, промышленные сети, отдельные контуры с документами или моделями, которые нельзя выпускать наружу. TrojPix не помогает попасть в такую среду с нуля, но после заражения может вытащить то, что считалось недоступным для сети.

Исследователи проверили разные конфигурации: 9 моделей мониторов и 15 видеокабелей. По их данным, результат не зависел от конкретного бренда или лабораторной сборки. Это важный сигнал для тех, кто привык считать, что достаточно просто «не подключать компьютер к интернету».

Тут уместна и старая, но не менее опасная мысль: защита начинается не с экзотических фильтров, а с базовой гигиены. Если на изолированную машину попадает вредонос, дальше злоумышленнику уже проще искать любой доступный канал для вывода данных.

Что делать сейчас

Полностью закрыть такие атаки одним патчем нельзя, и это ключевой вывод авторов исследования. Они советуют переходить на оптоволокно вместо медных кабелей, экранировать помещения и отдельно следить за тем, чтобы изолированные компьютеры не заражались малварью.

Для обычных компаний вывод проще: не стоит недооценивать физический уровень защиты. Чем чувствительнее данные, тем важнее контроль рабочих мест, носителей, поставок оборудования и тех мест, где ноутбук или ПК может оказаться рядом с посторонним человеком.

Если вы работаете с конфиденциальной информацией, полезно держать в голове сразу несколько слоёв защиты: сегментацию сети, контроль устройств и грамотную политику доступа. А в публичных местах и на чужой инфраструктуре стоит помнить и о приватности трафика — здесь пригодится инструмент для шифрования соединения на личных устройствах, если вы работаете с чувствительными данными.

Чек-лист для читателя

  • Проверьте, какие компьютеры у вас действительно должны быть изолированы от внешних сетей.
  • Убедитесь, что на таких машинах нет лишнего ПО и ненужных прав у пользователей.
  • Оцените, можно ли заменить медные кабели на оптоволокно в критичных сегментах.
  • Посмотрите, есть ли у помещений с чувствительными системами экранирование и физический контроль доступа.
  • Обновите правила для носителей, флешек и сервисных работ на изолированных ПК.
  • Для рабочих устройств за пределами офиса используйте менеджер паролей и двухфакторную проверку входа.
Поделиться: