Esta nueva técnica permite usar los cables SATA como antena Wi-Fi para filtrar datos
Un investigador de seguridad ha encontrado una nueva forma de robar datos de sistemas con espacio de aire (air-gapped). Esto se puede hacer mediante el uso de cables serial ATA (SATA) presentes dentro de la mayoría de las computadoras como una antena inalámbrica que envía datos a través de señales de radio.
Los sistemas con espacio de aire se utilizan en entornos críticos que necesitan estar físicamente aislados de redes menos seguras, como las que están conectadas a la Internet pública.
El airgapping se considera un mecanismo esencial para salvaguardar sistemas de alto valor que son de gran interés para los hackers motivados por el espionaje.
Este tipo de sistemas suelen verse en programas militares, gubernamentales y de desarrollo nuclear. También son muy comunes en sistemas de control industrial en sectores críticos (Por ejemplo, petróleo, gas, finanzas, energía eléctrica).
Dicho esto, los ataques dirigidos a sistemas críticos de control de misiones han crecido en número y sofisticación en los últimos años, como se observó recientemente en el caso de Industroyer 2 y PIPEDREAM (también conocido como INCONTROLLER).
A diferencia de vulnerar una red tradicional por medio de spear-phishing u otro ataque, comprometer una red aislada requiere estrategias más complejas. Por ejemplo un ataque a la cadena de suministro, el uso de medios extraíbles o infiltrados maliciosos para plantar malware.
Ataque SATAn
Apodado “SATAn”, el ataque fue descubierto por Mordechai Guri, Jefe de Investigación y Desarrollo de los Laboratorios de Investigación de Seguridad Cibernética de la Universidad Ben-Gurion en Israel. El ataque, teóricamente podría ayudar a un adversario a robar información confidencial.
Para que un ataque SATAn tenga éxito, un atacante primero debe infectar el sistema objetivo con espacio de aire. Si bien esta no es una tarea fácil, hay informes de compromiso físico inicial desde 2010, siendo Stuxnet el más notorio.
La pieza de malware plantada en una red aislada puede apuntar a la información confidencial y prepararla para la exfiltración al modularla y codificarla.
El investigador encontró que los cables SATA en las computadoras pueden entregar señales electromagnéticas a través de un canal de radio entre 5.9995 y 5.9996 GHz que corresponden a caracteres específicos.
La interfaz SATA puede emitir señales de radio durante ciertas operaciones de lectura y escritura. El malware utilizado en los ataques SATAn puede secuestrar procesos de software legítimos para realizar funciones de lectura/escritura muy específicas que reflejan el contenido de los datos robados.
Durante la investigación, Guri pudo generar señales electromagnéticas para enviar la palabra ‘SECRET’ desde un sistema de espacio de aire a una computadora cercana. El receptor necesita identificar el inicio de una transmisión válida desde cables SATA 3.
“Aunque las computadoras con espacio de aire no tienen conectividad inalámbrica, mostramos que los atacantes pueden usar el cable SATA como una antena inalámbrica para transferir señales de radio en la banda de frecuencia de 6 GHz”.
“En un escenario de ataque real, el receptor podría implementarse como un proceso en la computadora cercana o incrustarse en un receptor de hardware dedicado”.
Explicación del investigador en un documento técnico.
Limitaciones de ataque
A través de la experimentación con varios sistemas y configuraciones, el investigador ha determinado que la distancia máxima desde la computadora con espacio de aire hasta el receptor no puede ser superior a 120 cm (4 pies). En caso contrario, la tasa de error de bits aumenta demasiado para garantizar la integridad del mensaje (más del 15%).
La distancia entre el transmisor y el receptor también influye en el tiempo necesario para enviar los datos. Dependiendo de la brecha, “se han modulado y recibido secuencias de tres bits con 0.2 segundos, 0.4 segundos, 0.6 segundos, 0.8 segundos, 1.0 segundos y 1.2 segundos”.
Transmitimos los datos con una tasa de bits de 1 bit/seg, que se muestra como el tiempo mínimo para generar una señal lo suficientemente fuerte para la modulación.
Además, el investigador descubrió que cuando se abusa de las máquinas virtuales para realizar las operaciones de lectura/escritura de traducción de datos, la calidad de la señal en el cable SATA se reduce significativamente.
Una contramedida interesante propuesta en el documento es la de un bloqueador SATA. Este monitorea las operaciones sospechosas de lectura/escritura de aplicaciones legítimas y agrega ruido a la señal.
Sin embargo, el uso excesivo del disco para generar la señal de interferencia acelera el desgaste del hardware. Además, distinguir entre operaciones legítimas y maliciosas sería un desafío en un entorno de tiempo de ejecución.
Otras técnicas
Mordechai Guri ha estado involucrado en más de dos docenas de proyectos que investigan varios canales que permiten robar datos de redes con brechas de aire de forma encubierta.
A lo largo de los años, Guri y su equipo demostraron que las redes aisladas aún pueden permitir la filtración de información confidencial. Esto se puede lograr a través de señales (luz, vibraciones, sonido, calor, campos magnéticos o electromagnéticos) generadas por componentes presentes en los sistemas como monitores, parlantes, cables, CPU, discos duros, cámaras y teclados.
Como contramedidas, es recomendable tomar medidas para evitar que el atacante obtenga un punto de apoyo inicial. Asimismo, usar un sistema de monitoreo de radiofrecuencia (RF) externo para detectar anomalías en la banda de frecuencia de 6 GHz del sistema de espacio de aire. O, alternativamente, contaminar la transmisión con operaciones aleatorias de lectura y escritura cuando se detecta una actividad sospechosa en un canal encubierto.