Как экран компьютера превращается в радиопередатчик, о котором никто не подозревает?

Исследователи из Шаньдунского университета описали метод атаки на изолированные от сети компьютеры — те самые, что физически отключены от интернета ради безопасности. Технику назвали TrojPix, встречается и другое название — «незаметная пиксельная модуляция». Суть в том, что видеокабель, соединяющий компьютер с монитором, при определённых манипуляциях с изображением начинает излучать слабый радиосигнал. Этот сигнал можно поймать приёмником поблизости и расшифровать в исходные данные.
Работает это так: вредоносная программа на заражённой машине рисует на экране пиксели определённым образом — так, что глазу человека изменения незаметны. Но сама последовательность этих изменений заставляет видеокабель фонить радиочастотами. Ловушка в том, что метод годится только для утечки данных наружу, а не для проникновения внутрь системы. То есть сначала злоумышленнику всё равно нужно как-то занести вредонос на компьютер — через USB, через инсайдера, через любую другую брешь. Зато после этого никаких особых привилегий не требуется: ни прав администратора, ни root-доступа, ни вмешательства в железо. Достаточно программы уровня обычного пользователя, способной выводить что-то на экран.
Цифры впечатляют на фоне того, к чему обычно приводят подобные исследования. Пиковая скорость передачи — 8,1 Мбит/с, это примерно мегабайт в секунду. Максимальная дальность приёма сигнала — 208 метров. Правда, стоит уточнить: скорость и дальность измерялись отдельно друг от друга, а не одновременно, так что на практике оба показателя разом вряд ли достижимы. Но даже с этой оговоркой файл размером 100 мегабайт теоретически можно вытащить меньше чем за две минуты. Для сравнения — большинство скрытых каналов через воздушный зазор работают на скоростях в биты или килобиты в секунду. TrojPix на этом фоне выглядит как гоночная машина рядом с телегой.
Дальность в 208 метров — цифра лабораторная. В реальных условиях стены, металлические конструкции, посторонние электромагнитные помехи сократят это расстояние заметно. Но даже с поправкой на реальность масштаб проблемы не исчезает.
Авторы предложили два способа маскировки утечки. Первый — экран имитирует выключенное состояние, оставаясь тёмным, пока внутри идёт передача данных. Второй — сигнал прячется в обычном содержимом экрана, которое ничем не выдаёт постороннему наблюдателю происходящее.
Проверяли метод на девяти разных брендах мониторов и пятнадцати типах видеокабелей. Это важный момент: атака не завязана на конкретное оборудование конкретного производителя, а работает в широком диапазоне условий.
Корни этой техники уходят в TEMPEST — направление, изучающее компрометирующие электромагнитные излучения ещё с прошлого века. На CCS 2025 была представлена похожая работа под названием TEMPEST-LoRa, где похожий принцип применили для передачи данных на стандартные LoRa-радиомодули — распространённый стандарт связи дальнего радиуса действия. Там получили 87,5 метра дальности и 21,6 кбит/с скорости. TrojPix превосходит этот показатель в сотни раз по скорости, хотя прямое сравнение некорректно — использовались разные приёмники и условия тестирования.
Есть и другие родственные исследования. PIXHELL, о котором писали в The Hacker News в 2024 году, работает иначе: там сам экран заставляют издавать звук, а не радиоизлучение, и через акустический канал утекают данные. Существуют и атаки через Ethernet, но они требуют физически подсаженного аппаратного импланта — в этом принципиальное отличие от TrojPix, где никакого вмешательства в железо не нужно.
Стоит держать в голове контекст реальных инцидентов. Stuxnet и Agent.BTZ — два самых известных случая пересечения воздушного зазора вредоносным ПО — использовали для этого обычные USB-накопители, а не радиоизлучение или подобные экзотические каналы. TrojPix и его аналоги пока остаются лабораторной демонстрацией возможного, а не тем, что зафиксировано в реальных атаках.
Раз сама физика электромагнитного излучения не поддаётся программному патчу, защита строится иначе. Первый вариант — переход на оптоволоконные видеокабели вместо медных: свет не создаёт аналогичного паразитного излучения. Второй — экранирование кабелей и помещений там, где это оправдано, по существующим стандартам TEMPEST-сертифицированных объектов. Но главная линия обороны остаётся прежней и самой очевидной: не допустить попадания вредоносного кода на изолированную машину в принципе. Без этой первой точки опоры у TrojPix просто не будет данных для передачи.
Если же злоумышленник всё-таки закрепится на air-gapped системе, у него появится быстрый скрытый канал, способный вытащить внушительный объём информации за то время, пока монитор выглядит просто выключенным.


Новое на сайте

Ссылка