COVID比特：新的COVert通道，从空气间隙计算机中过滤数据

一种非常规的数据过滤方法利用以前未记录的隐蔽通道从气隙系统泄漏敏感信息。

R的负责人Mordechai Guri博士说：“这些信息从空气间隙的计算机向空中传播到2米以上的距离，附近的内部人员或间谍可以用手机或笔记本电脑获取”；以色列内盖夫本古里安大学网络安全研究中心主任兼攻防网络研究实验室负责人在与《黑客新闻》分享的一篇新论文中表示。

该机制被称为COVID钻头，利用植入机器上的恶意软件，产生0-60 kHz频带的电磁辐射，随后由物理距离较近的隐蔽接收设备发射和接收。

这反过来又是通过利用现代计算机的动态功耗和控制CPU内核上的瞬时负载而实现的。

COVID比特是Guri博士今年继SATAn、GAIROSCOPE和ETHERLED之后设计的最新技术，这些技术旨在跨越空气间隙并获取机密数据。

尽管存在高度隔离，但气隙网络可能会受到各种策略的影响，如受感染的USB驱动器、供应链攻击，甚至是流氓内部人员。

然而，由于缺乏互联网连接，在破坏网络后泄露数据是一项挑战，攻击者必须编造特殊方法来传递信息。

COVID比特是一种这样的隐蔽信道，恶意软件通过利用来自称为开关模式电源（SMPS）的组件的电磁发射，并使用称为频移键控（FSK）的机制来编码二进制数据。

“通过调节CPU的工作负载，可以控制其功耗，从而控制SMPS的瞬时开关频率，”Guri博士解释道。

“这种有意过程产生的电磁辐射可以使用合适的天线从远处接收”，成本低至1美元，可以连接到手机的3.5毫米音频插孔，以1000 bps的带宽捕获低频信号。

然后对发射进行解调以提取数据。这种攻击也是逃避性的，因为恶意代码不需要提升的权限，可以在虚拟机内执行。

对数据传输的评估表明，击键可以近乎实时地被过滤，IP和MAC地址的时间在0.1秒到16秒之间，具体取决于比特率。

针对提议的隐蔽信道的对策包括执行动态操作码分析以标记威胁，当检测到异常活动时在CPU处理器上启动随机工作负载，以及监测或干扰0-60 kHz频谱中的信号。