Исследователи из Шаньдунского университета представили метод TrojPix — технику эксфильтрации данных из физически изолированных (air-gapped) компьютеров, которая использует незаметную модуляцию пикселей на экране для генерации радиочастотного сигнала через видеокабель. По данным исследователей, пиковая пропускная способность канала достигает 8,1 Мбит/с, а дальность — до 208 метров, что на порядки превосходит ранее известные скрытые каналы этого класса. Метод требует предварительного заражения целевой машины вредоносным ПО и не является способом первоначального проникновения — это исключительно канал вывода украденных данных. Работа принята к публикации на конференции USENIX Security 2026.
Как работает незаметная модуляция пикселей
Метод, который авторы называют imperceptible pixel modulation, основан на том, что любой медный видеокабель (HDMI, VGA, DisplayPort) при передаче сигнала создаёт побочное электромагнитное излучение. TrojPix целенаправленно формирует пиксельные паттерны, невидимые человеческому глазу, но генерирующие предсказуемый радиочастотный сигнал, который может быть декодирован приёмником на расстоянии.
Как сообщается, для работы TrojPix не требуются права администратора и не нужны аппаратные модификации — достаточно вредоносного ПО пользовательского уровня, способного выводить изображение на экран. Исследователи описывают два режима маскировки:
- Имитация выключенного дисплея — экран остаётся тёмным, пока скрытая передача продолжается. Для наблюдателя монитор выглядит отключённым.
- Встраивание в обычный контент — сигнал закодирован в нормальном изображении на экране, и визуально содержимое не отличается от обычного.
По данным исследователей, техника протестирована на девяти брендах мониторов и пятнадцати типах видеокабелей, что указывает на универсальность подхода. Однако следует учитывать, что показатели 8,1 Мбит/с и 208 метров были получены в лабораторных условиях и измерялись раздельно, а не одновременно. В реальных условиях стены, экранирование и электромагнитные помехи существенно снизят оба параметра.
Контекст: от TEMPEST до современных скрытых каналов
Использование побочных электромагнитных излучений для перехвата данных — не новая идея. Программа TEMPEST, исследующая компрометирующие излучения электронного оборудования, существует десятилетия. Однако TrojPix выделяется на фоне предшественников скоростью передачи. Большинство известных скрытых каналов для изолированных систем работают на скоростях от единиц бит до килобит в секунду.
Для сравнения: метод TEMPEST-LoRa, использующий аналогичный принцип с приёмниками стандарта LoRa, по данным исследователей, достиг 21,6 кбит/с при дальности 87,5 метров. Заявленная пропускная способность TrojPix превышает этот показатель в сотни раз, хотя прямое сравнение некорректно из-за различий в приёмниках и условиях тестирования.
При скорости 8,1 Мбит/с файл объёмом 100 МБ теоретически может быть передан менее чем за две минуты. Это принципиально меняет модель угрозы: вместо медленной утечки паролей или ключей шифрования речь идёт о потенциальной передаче целых баз данных или архивов документов.
При этом важно подчеркнуть: все подобные каналы на основе электромагнитных излучений остаются лабораторными исследованиями. Реальные атаки на изолированные системы — Stuxnet, Agent.BTZ — преодолевали воздушный зазор через USB-накопители, а не через радиоканалы.
Кто в зоне риска
TrojPix представляет потенциальную угрозу для организаций, полагающихся на физическую изоляцию как основной рубеж защиты критических данных:
- Военные и разведывательные объекты с засекреченными сетями
- Промышленные системы управления (АСУ ТП / SCADA) на критической инфраструктуре
- Финансовые организации с изолированными сегментами для обработки транзакций
- Исследовательские лаборатории с конфиденциальной интеллектуальной собственностью
Ключевое ограничение — необходимость предварительного заражения целевой машины. Без вредоносного ПО на изолированном компьютере TrojPix бесполезен. Это существенно сужает практическую применимость, но не обнуляет угрозу: история показывает, что внедрение вредоносного кода в изолированные сети возможно через цепочки поставок, инсайдеров или заражённые съёмные носители.
Рекомендации по защите
Устранить побочное электромагнитное излучение медного кабеля программными средствами невозможно — это физическое свойство проводника. Защита строится на нескольких уровнях:
- Оптоволоконные видеоподключения — замена медных видеокабелей на оптоволоконные полностью исключает радиочастотное излучение как канал утечки.
- Экранирование помещений и кабелей — объекты, сертифицированные по стандартам TEMPEST, уже включают эти меры. Для остальных — оценка необходимости экранирования в зависимости от классификации обрабатываемых данных.
- Контроль целостности программной среды — предотвращение заражения изолированных систем остаётся главной мерой. Строгий контроль съёмных носителей, верификация цепочки поставок ПО, мониторинг аномальной активности на уровне пользователя.
- Мониторинг радиочастотного спектра — для объектов с высоким уровнем угрозы целесообразен контроль электромагнитной обстановки вблизи изолированных систем.
TrojPix — это демонстрация того, что физическая изоляция сети не равна абсолютной безопасности данных. Организациям, защищающим критически важную информацию в изолированных сегментах, следует провести аудит видеоподключений на предмет использования медных кабелей и оценить целесообразность перехода на оптоволокно, а также убедиться, что меры по предотвращению заражения изолированных машин соответствуют уровню защищаемых данных.