А. Белоус - Кибероружие и кибербезопасность. О сложных вещах простыми словами

Скрытый аппаратный троян кейлоггер с передачей информации по радиоканалу состоит из модуля перехвата, передающего или запоминающего блоков и блока управления. Питание кейлоггера осуществляется от интерфейса клавиатуры.

Модуль перехвата осуществляет перехват сигналов, передаваемых от клавиатуры в системный блок при нажатии клавиши. Перехваченные сигналы в цифровом виде передаются по радиоканалу на приемный пункт, где в реальном масштабе времени восстанавливаются и отображаются на экране компьютера в виде символов, набираемых на клавиатуре.

Рис. 5.17. Фотография аппаратного кейлоггера с передачей информации по радиоканалу типа ВЕ24:а — аппаратная закладка ВЕ24 Тустанавливаемая в клавиатуру;б — специальное приемное устройство ВЕ24 СК

Рис. 5.18. Перехват информации, вводимой с клавиатуры ПЭВМ, аппаратным кейлоггером с передачей информации по радиоканалу

Блок дистанционного управления предназначен для приема сигналов дистанционного включения и выключения закладного устройства и установления параметров работы передающего устройства.

Приемный комплекс состоит из радиоприемного устройства, специального модемного модуля (модема), ПЭВМ типа ноутбука и специального программного обеспечения.

Для передачи информации наиболее часто используется UHF-диапазон. Например, аппаратный кейлоггер KS-1 [1] работает на частоте 434,0005 МГц, а кейлоггер ВЕ24 Т — в диапазоне частот от 300 до 306 МГц [11]. При передаче информации используется частотная манипуляция (FFSK) сигнала. Мощность передатчика может составлять от 1-20 мВт до 50-100 мВт, что обеспечивает передачу информации на дальности от 50 до 500 м и более.

Аппаратные кейлоггеры имеют небольшие размеры и весят несколько грамм. Например, кейлоггер ВЕ24 Т имеет размеры 48 * 16 х 4 мм [83].

На рис. 5.17 представлен внешний вид аппаратного кейлоггера, осуществляющего передачу перехваченной информации по радиоканалу, и специального приемного устройства, на рис. 5.18 — схема его применения [83].

Некоторые аппаратные кейлоггеры для передачи информации используют канал Bluetooth. Внешний вид одного из таких кейлоггеров представлен на рис. 5.19 [87].

Рис. 5.19. Аппаратный кейлоггер ВТ PS/2 Extended с передачей данных по каналу Blutooth: а — вид спереди; б — вид сбоку

Аппаратные кейлоггеры, осуществляющие запись перехваченной информации на флеш-память, состоят из датчика, осуществляющего перехват сигналов, передаваемых от клавиатуры в системный блок при нажатии клавиши, микроконтроллера и флеш-памяти [84, 86].

Такие аппаратные кейлоггеры работают под управлением любой операционной системы. Они не требуют дополнительного питания (питание осуществляется от клавиатуры ПЭВМ). Запись информации осуществляется на флеш-память объемом от 64 кБ до 2 ГГб. При объеме памяти 1 МГб обеспечивается запись до 2 000 000 нажатий клавиш или 500 страниц текста. Записываемая на флеш-память информация шифруется с использованием 128-битного ключа [84, 86].

Кейлоггеры выпускаются в виде переходных разъемов или удлинителей, подключаемых в разрыв кабелей, соединяющих клавиатуру и системный блок (рис. 5.20). Их установка не требует специальных навыков и может быть произведена в считанные секунды (рис. 5.21-5.23) [84, 86].

Рис. 5.20. Внешний вид аппаратных кейлоггеров, осуществляющих запись перехваченной информации на флеш-памятъ

Рис. 5.21. Подключение кейлоггера, выполненного в виде переходного разъема, к четырехпроводному (PS/2) интерфейсу клавиатуры

Рис. 5.22. Подключение кейлоггера, выполненного в виде переходного разъема, к USB-интерфейсу клавиатуры

Рис. 5.23. Подключение кейлоггера, выполненного в виде переходного разъема, с PS/2 на USB-разъем (а) и кейлоггера, выполненного в виде удлинителя кабеля клавиатуры, к USB-разъему системного блока (б)

При наличии большого количества различных кабелей, подключенных к системному блоку ПЭВМ, обнаружить факт установки кейлоггера довольно трудно.

Аппаратные трояны для перехвата информации, выводимой на принтер, устанавливаются в корпусе принтера и по принципу работы аналогичны аппаратным закладкам, рассмотренным выше.

Аппаратные закладки для перехвата информации, записываемой на жесткий диск ПЭВМ, являются наиболее сложными из рассмотренных выше. Они состоят из блока перехвата, блока обработки, передающего блока, блока управления и блока питания (преобразователя AC/DC). Они скрытно устанавливаются в системном блоке ПЭВМ и контактно подключаются через специальный блок перехвата к интерфейсу, соединяющему жесткий диск с материнской платой. Перехватываемые сигналы поступают в блок специальной обработки, включающий специализированный процессор, где осуществляется их обработка по специальной программе. Файлы с заданным расширением (например *.doc) записываются в оперативную или флеш-память. По команде управления записанная в памяти информация в цифровом виде по радиоканалу или сети 220 В передается на приемный пункт, где в виде отдельных файлов записывается на жесткий диск для дальнейшей обработки.

Питание закладного устройства осуществляется от сети 220 В через блок питания.

Приемный комплекс состоит из радиоприемного устройства, модема, ПЭВМ типа ноутбука и специального программного обеспечения.

Таким образом, перехват информации, обрабатываемой средствами вычислительной техники, может осуществляться путем:

• перехвата побочных электромагнитных излучений, возникающих при работе СВТ;

• перехвата наводок информативных сигналов с соединительных линий ВТСС и посторонних проводников;

• перехвата наводок информативных сигналов с линий электропитания и заземления СВТ;

• «высокочастотного облучения» СВТ, внедрения в СВТ закладных устройств.