Взлом камеры и микрофона
Помимо прочего, хакеры пытаются получить доступ к камерам частных лиц и организаций. Корпоративные камеры интересны злоумышленникам прежде всего из-за возможности выведать коммерческую информацию, которая может быть использована как инсайд и продана конкурентам, либо для получения сведений, способных помочь в дальнейшем взломе корпоративной сети (паролей, логинов и т. п., которые беспечные клерки записывают или распечатывают на листках бумаги, а затем прикрепляют на стену или на монитор). Камеры в домах, гостиницах, публичных домах и т. д. хакеры взламывают в поисках контента, который может кого-либо скомпрометировать. Доступ к таким камерам и видеозаписи с них продаются в интернете: в тематических сообществах социальных сетей и т. п.[762]
КЕЙС В 2016 г. на сайте имиджборда «Двач» (https://2ch.hk) появились треды с прямыми трансляциями с видеокамер пользователей интернета, устройства которых взломали (в том числе путем распространения среди жертв вредоносного программного обеспечения, встроенного в пиратскую версию программы MediaGet, и с помощью специальных программ перебора паролей). Кроме того, хакеры смогли управлять компьютерами жертв, включая музыку, открывая различные страницы в браузере и т. п., и наблюдали за реакцией людей. Пострадали не только частные лица, но также владельцы различных учреждений, в том числе и тольяттинского борделя: трансляция с тамошней камеры велась сразу на нескольких ресурсах с пиком посещаемости 9000 человек одновременно[763]. Большинство пользователей никак не реагировали на атаки, другие запускали антивирус, который блокировал доступ злоумышленников к компьютерам, но позднее хакерам удалось заблокировать запуск антивирусных программ[764].
Отдельные IP-камеры мы обсудим в главе об IoT-устройствах, а сейчас рассмотрим веб-камеры, встраиваемые в ноутбуки, планшеты, а также подключаемые к настольным и прочим компьютерам через USB– и другие интерфейсы. Важно отметить, что для доступа к веб-камере злоумышленнику изначально необходимо получить доступ к самому компьютеру. Это делается с помощью утилит удаленного администрирования типа TeamViewer, RMS, LuminosityLink, Radmin, которые устанавливаются на устройстве самой жертвой в результате фишинговой атаки либо с помощью обнаруженной уязвимости. Чтобы сделать утилиту администрирования незаметной, ее скрытый установщик вшивается в другую программу, предлагаемую пользователям. В вышеописанном случае жертвы взлома камер устанавливали на свои компьютеры популярный менеджер загрузки MediaGet, точнее, его модифицированную версию, попутно инсталлирующую инструментарий, необходимый взломщикам для удаленного управления компьютером жертвы.
Хотя подавляющее большинство веб-камер оборудовано светодиодом, сигнализирующем о ее включении, на некоторых компьютерах, в том числе и MacBook, хакер может отключить его для скрытого видеонаблюдения. Действительно надежный способ предотвращения «подглядывания» через веб-камеру – физическое отключение устройства от компьютера, но такая возможность доступна только владельцам отдельных камер. Владельцы ноутбуков, планшетных компьютеров и мониторов со встроенными веб-камерами могут отключить камеру в диспетчере устройств либо контролировать приложения, у которых есть доступ к камере, с помощью системных настроек и/или защитного программного обеспечения, такого как антивирусные программы. Пользователи все чаще заклеивают веб-камеры или закрывают их специальными шторками, чтобы избавиться от слежки. Но прослушивание через встроенный микрофон предотвратить трудно. Как и веб-камера, микрофон обычно встроен в ноутбук и управляется отдельно от самой камеры. (В стационарных компьютерах и мониторах, не оборудованных встроенными веб-камерами, микрофонов нет.) Антивирусное программное обеспечение блокирует несанкционированный доступ к камерам некоторых производителей (но не всех), однако никак не мешает злоумышленнику включить микрофон.
КЕЙС Помимо экс-главы ФБР Джеймса Коми, упомянутого в эпиграфе к этой главе, «паранойей преследования» страдает и глава Facebook Марк Цукерберг. На некоторых видеороликах и фотографиях, демонстрирующих его рабочее место, видно, что на ноутбуке Цукерберга заклеены микрофон и веб-камера[765].
Кроме того, веб-сервисы, поддерживающие общение посредством веб-камер, могут содержать скрипты, запускающие фоновое окно с разрешениями на доступ к микрофону. Даже если пользователь закрывает основное окно веб-сервиса, то фоновое остается запущенным, позволяя собеседнику или злоумышленнику продолжать слышать происходящее около компьютера жертвы[766].
Дополнительно следует отметить, что пассивные[767] динамики (в том числе и наушники) могут работать и в обратном направлении, т. е. выполнять роль микрофона. Это может происходить, если колонки/наушники подключены к микрофонному разъему либо если звуковой чип предусматривает программное переназначение разъемов и аудиовыход превращается в аудиовход. В таком случае динамики или наушники позволяют фиксировать звуки на расстоянии до нескольких метров, а дополнительное вредоносное программное обеспечение может передавать записи на удаленный сервер[768].
Взлом устройств ввода
Злоумышленники могут перехватывать данные, вводимые с беспроводной клавиатуры, а также дистанционно (с расстояния до 1 км) управлять беспроводными клавиатурами и мышами, набирая текст и щелкая по различным кнопкам и ссылкам. Таким образом злоумышленники крадут данные или загружают на устройство вредоносный код и с целью фишинга открывают в браузере поддельные страницы. Данные, передаваемые с клавиатуры, часто шифруются (не во всех моделях), а с компьютерных мышей – нет, и злоумышленник с помощью последних может эмулировать ввод с клавиатуры. Кроме того, ряд трансиверов (маленьких устройств, подключаемых к USB-порту для работы клавиатуры/мыши) поддерживают подключение нескольких устройств одновременно, поэтому хакер может подключить собственное устройство.
В ходе такой атаки злоумышленник может перехватывать любые вводимые пользователем данные, даже когда они зашифрованы (если преступнику известны криптографические алгоритмы, используемые во взламываемой модели). Передавая свои команды, злоумышленник может скопировать и передать на удаленный сервер пользовательские данные, удалить их с компьютера и т. п.
Если компьютерная система используется на критически важных объектах или в системе безопасности предприятия, даже просто вывод клавиатуры/мыши из строя может привести к катастрофическому ущербу[769].
Взлом изолированных систем
В некоторых случаях, охотясь за особенно ценной информацией, хранящейся на компьютерах, хакеры пытаются получить доступ и к системам, изолированным от интернета, подключенным к интранет-сетям или вовсе не имеющим сетевого подключения. При этом злоумышленник может похитить данные и без проникновения в охраняемый периметр и физического доступа к машине с ценной информацией. Известны способы извлечения данных с таких компьютеров с помощью других девайсов, например смартфонов, используемых в том же помещении. Для атаки необходимо связать компьютер и смартфон с помощью вредоносных приложений, одно из которых (на компьютере) будет передавать данные, а другое (на мобильном устройстве) – принимать. Основная трудность такой атаки заключается в инфицировании обоих устройств: не только смартфона, выносимого за пределы охраняемой территории, но и компьютера, непрерывно находящегося в защищенном периметре.
Специалисты по ИБ из Исследовательского центра кибербезопасности Университета имени Бен-Гуриона в Негеве (Израиль) представили несколько разработок, позволяющих извлекать данные из изолированных систем.
Одна из них – приложение GSMem, результаты работы которого записываются по определенным адресам в оперативной памяти, а затем передаются в виде электромагнитных сигналов на приемник, которым может служить простейший мобильный телефон, в том числе не подключенный к сотовой сети/интернету. Таким образом можно извлечь короткие фрагменты данных, например пароли и ключи шифрования[770].
В другом случае в качестве передающей стороны может использоваться HDD зараженного компьютера. Разработанное исследователями вредоносное приложение DiskFiltration манипулирует позиционером диска, заставляя его двигаться определенным образом и издавать звуки в определенном порядке, передавая бинарные данные, которые фиксируются устройством, способным записывать звук, например смартфоном или «умными» часами[771].
Приложение Fansmitter позволяет передавать данные посредством звуков, издаваемых компонентами компьютера, только в данном случае передатчиком выступает кулер, установленный на процессоре, видеокарте или в корпусе. Если предыдущая атака – DiskFiltration невозможна на компьютерах, не оборудованных HDD (по причине использования, к примеру, SSD-накопителей), то кулеры, по крайней мере для охлаждения процессора, устанавливаются почти во все компьютеры. Изменяя скорость вращения вентилятора, приложение Fansmitter позволяет передавать данные в виде единиц и нулей с целью кражи паролей и прочей важной информации с изолированных машин[772].
Другая разработка исследователей из Университета имени Бен-Гуриона называется AirHopper и предназначена для передачи и регистрации данных, например, о нажатии клавиш на компьютере с помощью электромагнитного излучения видеокарты, установленной в инфицированной машине