Еще одна разработка связана со светодиодами, используемыми как индикаторы работы жестких дисков в стационарных компьютерах и ноутбуках. С помощью приложения LED-it-GO инфицированный компьютер может передавать данные, включая и выключая индикатор жесткого диска в определенной последовательности (светится – единица, погас – ноль). Регистрация световых сигналов производится с помощью любой камеры, например установленной на квадрокоптере, парящем рядом с офисным зданием и «подсматривающем» в окно[774]. Аналогичным образом могут использоваться светодиоды и других устройств: клавиатур[775], мониторов и сетевого оборудования (например, в изолированной интранет-сети) и т. д.[776]
Если к целевому компьютеру подключены наушники, то их также можно использовать для кражи данных. В частности, с помощью наушников можно записывать окружающие звуки даже на компьютерах, не оборудованных микрофонами, если превратить выход звуковой карты во вход с помощью специального приложения, такого как Speake(a)r. В ходе атаки наушники превращаются в микрофон, так как имеют похожую конструкцию, и позволяют улавливать колебания воздуха, генерируемые источниками звука в радиусе до 6 м[777].
Также исследователи разработали атаки под названием MOSQUITO: локальные файлы на инфицированной машине преобразуются в аудиосигналы, которые через колонки или наушники передаются на приемник на едва слышимых или даже ультразвуковых частотах[778].
Ведя атаку aIR-Jumper, злоумышленник может инфицировать изолированный компьютер, в числе прочего имеющий доступ к камерам видеонаблюдения, или интранет-сеть. Собранную информацию вредоносная программа может передавать через использующиеся в наружных видеокамерах для ночной съемки инфракрасные светодиоды сериями миганий, которые фиксирует злоумышленник, находящийся снаружи. Кроме того, он может управлять вредоносным приложением, запущенным на инфицированной машине, передавая инфракрасные сигналы на камеру[779].
Даже если компьютер не оборудован компонентами беспроводной связи, он может передавать похищенные данные с помощью шины оперативной памяти DDR SDRAM путем генерации электромагнитного излучения на частоте 2,4 ГГц. Зафиксировать и перехватить такие сигналы может любое скомпрометированное и находящееся неподалеку (2–3 м) устройство с Wi-Fi-модулем, например смартфон или «умная» лампочка[780].
Все описанные способы подразумевают внедрение вредоносного кода на изолированный компьютер. Следовательно, такие атаки возможны только при физическом доступе к нему, например через «злую горничную» или с использованием человеческого фактора – беспечности сотрудника атакуемой компании (если тот, к примеру, подберет подброшенную ему инфицированную флешку и подключит к целевому компьютеру). Поэтому такая атака вряд ли будет эффективна в серьезно защищаемых правительственных или военных периметрах. Тем не менее подобные инциденты случаются. Например, в 2017 г. вирусной атаке подверглась изолированная локальная сеть атомной электростанции: заражение произошло по вине одного из сотрудников, принесших на работу flash-накопитель со скачанным фильмом[781].
Риск перехвата данных в изолированной корпоративной среде с большим количеством сотрудников и обслуживающего персонала существенно выше, особенно учитывая то, что вредоносный код могут содержать любые USB-устройства, например зарядные кабели для смартфонов и компьютерные мыши, а не только флешки[782].
Кроме того, вредоносное аппаратное и программное обеспечение могут в разведывательных целях встраивать в компьютерные компоненты в процессе их производства или сборки компьютера[783].
КЕЙС В 2018 г. издание Bloomberg написало, что серверные платы американской компании Supermicro, поставляемые Amazon, Apple и более чем 30 другим корпорациям США, скомпрометированы при их производстве в Китае. По сведениям Bloomberg, микросхема размером чуть больше рисового зерна позволяет полностью перехватывать контроль над системой, где она установлена, и передавать конфиденциальную информацию на удаленные серверы в Китае. Представители пострадавших компаний, а также АНБ поспешили опровергнуть материал, но в 2021 г. журналисты Bloomberg подготовили новый объемный доклад[784] о «жучках» в серверных платах. Как и три года назад, в этот раз вновь никто не представил каких-либо фактических доказательств, но ряд источников полагают информацию достоверной. Считается, что в подобных операциях преуспели Китай, Израиль и Великобритания и что такими разработками занимаются Франция, Германия и Россия[785].
Теперь поговорим о более реальных для рядового пользователя вещах, в частности об угрозе заражения компьютера вредоносными инструментами.
Если компьютер не защищен от вирусов, возникает еще одна очень серьезная угроза для пользователей. Перенаправляя браузеры на фишинговые сайты, рассылая письма с опасными вложениями или публикуя сомнительные ссылки в социальных сетях и мессенджерах, злоумышленники побуждают пользователей скачивать на свои компьютеры вредоносные программы. Нередко они скрыты под видом безопасных файлов. Например, ничем не примечательный документ Microsoft Office может содержать опасный макрос, а книга в виде файла PDF – вредоносный сценарий или ссылку на опасный вирус[786], даже если файл подписан доверенной организацией[787]. Кроме того, вредоносный код может вшиваться в пиратские версии программ и игр и даже в поддельные обновления для операционной системы, которые скачивают доверчивые пользователи. Также компьютер может быть заражен с помощью подброшенного пользователю flash-накопителя, оптического диска или иного носителя информации.
КЕЙС В 2009 г. сотрудники завода по обогащению урана в Нетензе (Иран) неосознанно заразили защищенную автономную (не подключенную к интернету) сеть завода вирусом Stuxnet, созданным спецслужбами нескольких государств. Специально спроектированный вирус уничтожил более четверти центрифуг на заводе, увеличивая скорость их работы до 1400 оборотов в секунду (вместо положенных 1000), а потом резко уменьшая. При этом инженеры завода, находящиеся в соседнем здании, видели на своих экранах нормальные показатели работы центрифуг. Этот случай считается одним из первых примеров применения кибероружия[788].
Независимо от способа проникновения на компьютер жертвы все вредоносные программы можно разделить на три основные категории, которые будут рассмотрены далее.
Вирусы
Вирусы появились еще до распространения персональных компьютеров. Основная особенность вирусов – способность к размножению путем внедрения в другие файлы. По сути, вирус – это код, который исполняется после запуска зараженной программы пользователем или операционной системой.
Примечание. Вирусы подразделяются на резидентные и нерезидентные. Первые загружают (резидентную) часть своего кода в оперативную память, а затем перехватывают обращения операционной системы к другим объектам и заражают их. Нерезидентные вирусы такими возможностями не обладают и поэтому считаются менее опасными. Кроме того, многие вредоносные программы обладают стелс-функциями (т. е. стремятся скрыть свое присутствие) и полиморфными алгоритмами. В последнем случае вредоносные программы самостоятельно воссоздают множество собственных модифицированных версий, чтобы избежать обнаружения и сохранять вредоносные функции. Для усложнения распознавания они шифруют свой код, используя разные ключи шифрования[789]. Для борьбы с полиморфизмом вредоносных программ в антивирусном программном обеспечении применяются технологии эвристического анализа.
Вирусы обычно предназначены для повреждения или удаления данных и подразделяются на:
■ файловые вирусы, обычно внедряемые в исполнительные модули программ, которые затем запускаются пользователем или операционной системой;
■ загрузочные вирусы, проникающие в загрузочные сектора HDD или SSD и flash-накопителей); активация вируса происходит при загрузке операционной системы с зараженного диска;
■ макровирусы, заражающие файлы документов с макросами Microsoft Office и др.;
■ вирусные скрипты (в том числе и пакетные[790]) чаще всего проникают на компьютер пользователя в виде почтовых сообщений и заражают оболочку Windows, Java-приложения и т. д.[791],[792]
Черви
Черви, в отличие от вирусов, это самостоятельные компьютерные программы. Они способны к самостоятельному распространению по локальным сетям и через интернет различными методами: от рассылки своих копий по электронной почте до прямой передачи на другие компьютеры с использованием уязвимостей в программах и операционных системах. Часто для активации червя даже не требуется никаких действий пользователя. Черви являются в некотором роде вирусами, так как созданы на основе саморазмножающихся программ, но не могут заражать существующие файлы. Вместо этого они ищут уязвимости в сети или системе, чтобы распространяться дальше. Кроме того, черви в отличие от вирусов обычно нацелены на размножение, а не на повреждение и удаление данных. Некоторые черви существуют в виде сохраненных на жестком диске файлов, а другие находятся лишь в оперативной памяти компьютера. Классифицируются следующие виды червей: