ODINI 恶意软件利用 CPU 磁辐射攻破屏蔽空气的计算机

请点击上方蓝色的【#公众号信安社群 #】微信公众号一键关注！

ODINI 是一种复杂的概念验证恶意软件，能够从被法拉第笼保护的空中隔离计算机中提取敏感信息。

通过调制目标计算机的 CPU 工作负载以产生低频磁场，该隐蔽通道成功通过先进的物理隔离屏障传输数据。

军事、金融和关键基础设施领域的组织高度依赖空气隔离系统和法拉第笼来保护敏感数据免受电磁干扰和远程网络入侵。

尽管采取了这些严密的防范措施，ODINI 证明了那些最初通过供应链攻击或被攻破的 USB 驱动器感染系统的有动机的威胁行为者，仍然可以获取高价值资产，如密码、认证令牌和加密密钥。

ODINI 的核心外泄机制完全依赖于对被攻破机器中央处理单元的精确操作。

该恶意软件故意让 CPU 核心过载计算，导致功耗动态波动，从而固有地产生低频磁场。

由于低频磁波阻抗极低，它们很容易穿透标准计算机机箱组件和法拉第笼的坚固金属屏蔽层。

传输代码执行任务无需提升的管理权限，并利用简单的处理器操作来规避传统杀毒软件或运行时监控工具的检测。

此外，该恶意软件采用了先进的数据调制方案，包括幅度偏移键控和频移键控，能够准确地将被盗信息编码到磁波上。

一旦数据被编码并以磁信号形式广播，攻击者必须在附近放置接收设备以捕捉隐蔽的发射信号。

ODINI 技术利用专用磁传感器，位于距离受损机器 100 至 150 厘米的物理范围内，实现最大 40 比特/秒的数据传输速率。

一种名为 MAGNETO 的并行攻击变体利用了相同的 CPU 操作技术，但接收器是被感染的智能手机内置磁力计。

MAGNETO 在最远距离 12.5 厘米下有效，数据传输速率为每秒 5 位，即使接收的智能手机被放入法拉第包内或切换为飞行模式，它依然能正常工作。

防御磁场外泄对安全运营中心来说是一项重大工程挑战。

传统的法拉第笼无法阻挡这些低频传输，而用像μ金属这样的特殊铁磁材料制造物理屏蔽通常成本高昂且极不实用。

安全专家建议实施基于硬件的信号干扰，利用商用磁场发生器主动产生反磁噪声，完全淹没隐蔽信号。

或者，也可以部署基于软件的干扰，引入随机 CPU 工作负载，干扰攻击者的编码信号，尽管这种防御性方法可能会暂时降低整体系统性能。