Mastodon Mastodon Mastodon Mastodon

Як TrojPix передає дані з air-gapped систем через екран

Photo of author

CyberSecureFox Editorial Team

Опубліковано:

Дослідники з Шаньдунського університету представили метод TrojPix — техніку ексфільтрації даних із фізично ізольованих (air-gapped) комп’ютерів, яка використовує непомітну модуляцію пікселів на екрані для генерування радіочастотного сигналу через відеокабель. За даними дослідників, пікова пропускна здатність каналу сягає 8,1 Мбіт/с, а дальність — до 208 метрів, що на порядки перевищує раніше відомі приховані канали цього класу. Метод потребує попереднього зараження цільової машини шкідливим ПЗ і не є способом початкового проникнення — це виключно канал виведення викрадених даних. Роботу прийнято до публікації на конференції USENIX Security 2026.

Як працює непомітна модуляція пікселів

Метод, який автори називають imperceptible pixel modulation, ґрунтується на тому, що будь-який мідний відеокабель (HDMI, VGA, DisplayPort) під час передавання сигналу створює побічне електромагнітне випромінювання. TrojPix цілеспрямовано формує піксельні патерни, непомітні людському оку, але такі, що генерують передбачуваний радіочастотний сигнал, який може бути декодований приймачем на відстані.

Як зазначається, для роботи TrojPix не потрібні права адміністратора й не потрібні апаратні модифікації — достатньо шкідливого ПЗ користувацького рівня, здатного виводити зображення на екран. Дослідники описують два режими маскування:

  • Імітація вимкненого дисплея — екран залишається темним, доки прихована передача триває. Для спостерігача монітор виглядає вимкненим.
  • Вбудовування у звичайний контент — сигнал закодовано у звичайному зображенні на екрані, і візуально вміст не відрізняється від нормального.

За даними дослідників, техніку протестовано на дев’яти брендах моніторів і п’ятнадцяти типах відеокабелів, що вказує на універсальність підходу. Водночас слід ураховувати, що показники 8,1 Мбіт/с і 208 метрів було отримано в лабораторних умовах і вимірювалися окремо, а не одночасно. У реальних умовах стіни, екранування та електромагнітні завади істотно знизять обидва параметри.

Контекст: від TEMPEST до сучасних прихованих каналів

Використання побічних електромагнітних випромінювань для перехоплення даних — не нова ідея. Програма TEMPEST, що досліджує компрометувальні випромінювання електронного обладнання, існує вже десятиліттями. Однак TrojPix вирізняється на тлі попередників швидкістю передавання. Більшість відомих прихованих каналів для ізольованих систем працюють на швидкостях від одиниць біт до кілобіт за секунду.

Для порівняння: метод TEMPEST-LoRa, який використовує аналогічний принцип із приймачами стандарту LoRa, за даними дослідників, досяг 21,6 кбіт/с на дальності 87,5 метра. Заявлена пропускна здатність TrojPix перевищує цей показник у сотні разів, хоча пряме порівняння некоректне через відмінності в приймачах і умовах тестування.

За швидкості 8,1 Мбіт/с файл об’ємом 100 МБ теоретично може бути переданий менш ніж за дві хвилини. Це принципово змінює модель загрози: замість повільного витоку паролів або ключів шифрування йдеться про потенційне передавання цілих баз даних або архівів документів.

Водночас важливо підкреслити: усі подібні канали на основі електромагнітних випромінювань залишаються лабораторними дослідженнями. Реальні атаки на ізольовані системи — Stuxnet, Agent.BTZ — долали повітряний розрив через USB-накопичувачі, а не через радіоканали.

Хто в зоні ризику

TrojPix становить потенційну загрозу для організацій, які покладаються на фізичну ізоляцію як на основний рубіж захисту критичних даних:

  • військові та розвідувальні об’єкти з засекреченими мережами
  • промислові системи керування (АСУ ТП / SCADA) на об’єктах критичної інфраструктури
  • фінансові організації з ізольованими сегментами для обробки транзакцій
  • дослідницькі лабораторії з конфіденційною інтелектуальною власністю

Ключове обмеження — необхідність попереднього зараження цільової машини. Без шкідливого ПЗ на ізольованому комп’ютері TrojPix марний. Це суттєво звужує практичну застосовність, але не нівелює загрозу: історія показує, що впровадження шкідливого коду в ізольовані мережі можливе через ланцюги постачання, інсайдерів або заражені змінні носії.

Рекомендації щодо захисту

Усунути побічне електромагнітне випромінювання мідного кабелю програмними засобами неможливо — це фізична властивість провідника. Захист будується на кількох рівнях:

  • Оптоволоконні відеопідключення — заміна мідних відеокабелів на оптоволоконні повністю виключає радіочастотне випромінювання як канал витоку.
  • Екранування приміщень і кабелів — об’єкти, сертифіковані за стандартами TEMPEST, уже включають ці заходи. Для решти — оцінка необхідності екранування залежно від класифікації оброблюваних даних.
  • Контроль цілісності програмного середовища — запобігання зараженню ізольованих систем залишається головним заходом. Суворий контроль змінних носіїв, верифікація ланцюга постачання ПЗ, моніторинг аномальної активності на рівні користувача.
  • Моніторинг радіочастотного спектра — для об’єктів із високим рівнем загроз доцільний контроль електромагнітної обстановки поблизу ізольованих систем.

TrojPix — це демонстрація того, що фізична ізоляція мережі не дорівнює абсолютній безпеці даних. Організаціям, які захищають критично важливу інформацію в ізольованих сегментах, варто провести аудит відеопідключень на предмет використання мідних кабелів і оцінити доцільність переходу на оптоволокно, а також переконатися, що заходи із запобігання зараженню ізольованих машин відповідають рівню захищуваних даних.


CyberSecureFox Editorial Team

Редакція CyberSecureFox висвітлює новини кібербезпеки, уразливості, malware-кампанії, ransomware-активність, AI security, cloud security та security advisories вендорів. Матеріали готуються на основі official advisories, даних CVE/NVD, сповіщень CISA, публікацій вендорів і відкритих звітів дослідників. Статті перевіряються перед публікацією та оновлюються за появи нових даних.

Leave a Comment

This site uses Akismet to reduce spam. Learn how your comment data is processed.