Hackers pueden robar datos ajustando el brillo del monitor

Puede sonar espeluznante e irreal, pero los hackers pueden exfiltrar datos confidenciales de tu computadora simplemente cambiando el brillo de la pantalla. Esto según una nueva investigación de ciberseguridad revelada recientemente.

En los últimos años, varios investigadores de ciberseguridad demostraron formas innovadoras de exfiltrar de manera encubierta los datos de una computadora con air-gapped. Es decir, que no están conectadas de forma inalámbrica o física con otras computadoras o dispositivos de red.

Estas ideas inteligentes se basan en explotar las emisiones poco notadas de los componentes de una computadora. Por ejemplo, la luz, el sonido, el calor, las frecuencias de radio o las ondas ultrasónicas. Asimismo, utilizan las fluctuaciones de corriente en las líneas eléctricas.

Por ejemplo, los posibles atacantes podrían sabotear las cadenas de suministro para infectar una computadora con espacio de aire. Empero no siempre pueden contar con una información privilegiada para llevarse en una USB con los datos de un objetivo.

Cuando se trata de objetivos de alto valor, estas técnicas inusuales, pueden parecer teóricas e inútiles para muchos. No obstante, podrían desempeñar un papel importante en la extracción de datos confidenciales de una computadora.

¿Cómo funciona el ataque de brillo con Air-Gapped?

Mordechai Guri, jefe del centro de investigación de seguridad cibernética de la Universidad Ben Gurion de Israel, junto con otros colegas es el creador de la técnica.  Él ideó un nuevo canal óptico encubierto mediante el cual los atacantes pueden robar datos de computadoras con espacios de aire. Estos sin requerir conectividad de red o contactar físicamente los dispositivos.

“Este canal oculto es invisible y funciona incluso mientras el usuario está trabajando en la computadora. El malware en una computadora comprometida puede obtener datos confidenciales. Por ejemplo, archivos, imágenes, claves de cifrado y contraseñas. Todo esto pueden lograrlo modulando el brillo de la pantalla. El ataque es invisible para los usuarios”.

La idea fundamental detrás de la codificación y decodificación de datos es similar a los casos anteriores. Es decir, el malware codifica la información recopilada como una secuencia de bytes y luego la modula como señal ‘1’ y ‘0’.

En este caso, el atacante utiliza pequeños cambios en el brillo de la pantalla LCD. Este permanece invisible a simple vista, para modular de forma encubierta la información binaria en patrones similares a códigos Morse

“En las pantallas LCD cada píxel presenta una combinación de colores RGB que producen los colores requeridos para un color determinado. En la modulación propuesta, el componente de color RGB de cada píxel cambia ligeramente “.

“Estos cambios son invisibles, ya que son relativamente pequeños y ocurren rápidamente, hasta la frecuencia de actualización de la pantalla. Además, el cambio general de color de la imagen en la pantalla es invisible para el usuario”.

Extracción de la información

El atacante, por otro lado, puede recopilar este flujo de datos mediante la grabación de video de la pantalla de la computadora comprometida. La puede tomar con una cámara de vigilancia local, cámara de un teléfono inteligente o una cámara web.  Finalmente, el atacante puede reconstruir la información extraída utilizando técnicas de procesamiento de imágenes.

Como se observa en la demostración en video compartida, los investigadores infectaron una computadora air-gapped con malware especializado. El malware intercepta el búfer de la pantalla para modular los datos en ASK modificando el brillo del mapa de bits de acuerdo con el bit actual (‘1’ o ‘0’).

Video – Como Hackean con el brillo del monitor:

Puedes encontrar información técnica detallada sobre esta investigación en el documento [PDF] publicado por los investigadores. Este ha sido llamado “BRIGHTNESS: Leaking Sensitive Data from Air-Gapped Workstations via Screen Brightness”.

Técnicas de exfiltración de datos Air-Gapped populares

No es la primera vez que los investigadores de Ben-Gurion idean una técnica encubierta para apuntar a computadoras con espacios de aire. Sus investigaciones previas sobre el hacking de máquinas air-gap incluye:

• Ataque de PowerHammer para exfiltrar datos de computadoras air-gapped a través de líneas eléctricas.
• Técnica de MOSQUITO que utiliza dos (o más) PC’s air-gapped colocadas en la misma habitación que pueden intercambiar datos secretamente a través de ondas ultrasónicas.
• Técnica BeatCoin que podría permitir a los atacantes robar claves de cifrado privadas de billeteras de criptomonedas air-gapped.
• Ataque de aIR-Jumper. Esta toma información sensible de computadoras air-gapped con la ayuda de cámaras CCTV equipadas con infrarrojos que se utilizan para visión nocturna.
• Las técnicas MAGNETO y ODINI utilizan campos magnéticos generados por CPU como un canal encubierto entre sistemas air-gapped y teléfonos inteligentes cercanos.
•  Ataque USBee. Se puede utilizar para robar datos de computadoras con air-gapped utilizando transmisiones de radiofrecuencia desde conectores USB.
• Ataque de DiskFiltration.  Este puede robar datos utilizando señales de sonido emitidas desde la unidad de disco duro (HDD) de la computadora con espacio de aire objetivo;
• BitWhisper. Se basa en el intercambio de calor entre dos sistemas informáticos para extraer sigilosamente contraseñas o claves de seguridad;
• AirHopper. Convierte la tarjeta de video de una computadora en un transmisor FM para capturar las pulsaciones de teclas;
• Técnica Fansmitter. Utiliza el ruido emitido por un ventilador de computadora para transmitir datos.
• Ataque GSMem que se basa en frecuencias celulares.