Revelan dos nuevos métodos que permiten filtrar datos de computadoras seguras
El investigador israelí Mordechai Guri ha descubierto un nuevo método para filtrar datos de sistemas air-gapped (espacios de aire) utilizando los indicadores LED de las tarjetas de red. Llamado ‘ETHERLED’, el método convierte las luces parpadeantes en señales de código Morse que un atacante puede decodificar.
La captura de las señales requiere una cámara con una línea de visión directa a las luces LED en la tarjeta de la computadora con espacio de aire. Estos se pueden traducir a datos binarios para robar información.
Los sistemas con espacio de aire son computadoras que generalmente se encuentran en entornos altamente sensibles; están aisladas del internet público por razones de seguridad. Por ejemplo, infraestructura crítica, unidades de control de armas, etc.
Sin embargo, estos sistemas funcionan en redes air-gapped y siguen utilizando una tarjeta de red. Si un intruso los infecta con malware especialmente diseñado, podrían reemplazar el controlador de la tarjeta con una versión que modifica el color del LED y la frecuencia de parpadeo para enviar ondas de datos codificados, según descubrió Mordechai Guri.
El método ETHERLED puede funcionar con otros periféricos o hardware que utilizan LED como indicadores operativos o de estado, como enrutadores, dispositivos de almacenamiento conectado a la red (NAS), impresoras, escáneres y otros dispositivos conectados.
En comparación con los métodos de exfiltración de datos divulgados anteriormente basados en la emanación óptica que toman el control de los LED en teclados y módems, ETHERLED es un enfoque más encubierto y es menos probable que levante sospechas.
Detalles de ETHERLED
El ataque comienza con la instalación de malware en la computadora de destino que contiene una versión modificada del firmware para la tarjeta de red. Esto permite controlar la frecuencia, la duración y el color del parpadeo del LED.
Alternativamente, el malware puede atacar directamente la unidad del controlador de interfaz de red (NIC). Esto para cambiar el estado de conectividad o para modular los LEDs necesarios para generar las señales.
El investigador descubrió que el controlador malicioso puede explotar la funcionalidad de hardware documentada o no documentada para manipular las velocidades de conexión de la red y habilitar o deshabilitar la interfaz Ethernet, lo que genera parpadeos de luz y cambios de color.
Las pruebas de Guri muestran que cada trama de datos comienza con una secuencia de ‘1010’, para marcar el inicio del paquete. Luego, es seguida de un payload de 64 bits.
Exfiltración
Para la exfiltración de datos a través de LEDs de estado único, se generaron puntos y rayas de código Morse con una duración entre 100 ms y 300 ms, separados por espacios de desactivación de indicadores entre 100 ms y 700 ms.
La tasa de bits del código Morse se puede aumentar hasta diez veces (10 m puntos, 30 m guiones y 10-70 ms espacios) cuando se usa el método de ataque de controlador/firmware.
Para capturar las señales de forma remota, los atacantes pueden usar cualquier cosa. Por ejemplo, cámaras de teléfonos inteligentes (hasta 30 metros), drones (hasta 50 m), cámaras web hackeadas(10 m), cámaras de vigilancia de hackeadas (30 m) y telescopios o cámaras con teleobjetivo o superzoom (más de 100 metros).
El tiempo necesario para filtrar secretos como contraseñas a través de ETHERLED oscila entre 1 segundo y 1.5 minutos, según el método de ataque utilizado. Entre 2.5 segundos y 4.2 minutos para claves privadas de Bitcoin y entre 42 segundos y una hora para claves RSA de 4096 bits.
Tal como ya dijimos, ETHERLED es eficaz en cualquier otro hardware en el que los LED se utilicen como indicadores operativos o de estado. Estos incluyen impresoras, enrutadores, escáneres, dispositivos de almacenamiento conectados a la red y otros dispositivos conectados.
Otros canales de exfiltración – GAIROSCOPE
Mordechai también publicó un artículo sobre ‘GAIROSCOPE’, un ataque a sistemas con espacio de aire que se basa en la generación de frecuencias de resonancia en el sistema objetivo, capturadas por el sensor giroscópico de un teléfono inteligente cercano (hasta 6 metros).
Este ataque comienza infectando los teléfonos inteligentes de los empleados de una organización objetivo con una aplicación maliciosa. Esto se puede lograr a través de numerosos vectores de ataque, que incluyen ingeniería social, sitios web infectados o anuncios maliciosos. Luego, el atacante abusa del acceso para obtener datos confidenciales, como credenciales o claves de cifrado. Posteriormente, codifica y transmite la información mediante el envío encubierto de ondas de sonido acústicas a través del altavoz del dispositivo.
Un teléfono inteligente infectado en las proximidades detecta la transmisión de datos y escucha a través del sensor de giroscopio incorporado en el dispositivo. Luego, los datos se demodulan, decodifican y envían al atacante a través de Wi-Fi debido a la corrupción ultrasónica. Este fenómeno afecta a los giroscopios MEMS en frecuencias de resonancia.
“Nuestro malware genera tonos ultrasónicos en las frecuencias de resonancia del giroscopio MEMS. Estas frecuencias inaudibles producen pequeñas oscilaciones mecánicas dentro del giroscopio del teléfono inteligente, que se pueden demodular en información binaria”.
El sonido inaudible, cuando se reproduce cerca del giroscopio, genera una interrupción interna en la salida de la señal y este error puede aprovecharse para codificar/decodificar datos. Según el informe, los datos se transfieren con tasas de bits de 1 a 8 bits por segundo a una distancia de 0 a 600 cm, y la transmisión alcanza una distancia de 800 cm en áreas estrechas.
Otros ataques
En julio, el mismo investigador presentó el ataque ‘SATAn’. SATAn utiliza cables SATA dentro de las computadoras como antenas, generando ondas electromagnéticas portadoras de datos que pueden ser capturadas por computadoras portátiles cercanas (hasta 1.2 metros).
La colección completa de métodos de ataques para vulnerar sistemas con espacio de aire del Dr. Mordechai Guri se puede encontrar en una sección dedicada en el sitio web de la Universidad Ben-Gurion del Negev.
