El investigador israelí Mordechai Guri ha descubierto un nuevo método para filtrar datos de sistemas air-gapped (espacios de aire) utilizando los indicadores LED de las tarjetas de red. Llamado ‘ETHERLED’, el método convierte las luces parpadeantes en señales de código Morse que un atacante puede decodificar.

La captura de las señales requiere una cámara con una línea de visión directa a las luces LED en la tarjeta de la computadora con espacio de aire. Estos se pueden traducir a datos binarios para robar información.

1661443658 766 Revelan dos nuevos metodos que permiten filtrar datos de computadoras.webp ITB BARQUISIMETO 31/05/2023
Diagrama de ataque ETHERLED

Los sistemas con espacio de aire son computadoras que generalmente se encuentran en entornos altamente sensibles; están aisladas del internet público por razones de seguridad. Por ejemplo, infraestructura crítica, unidades de control de armas, etc. 

Sin embargo, estos sistemas funcionan en redes air-gapped y siguen utilizando una tarjeta de red. Si un intruso los infecta con malware especialmente diseñado, podrían reemplazar el controlador de la tarjeta con una versión que modifica el color del LED y la frecuencia de parpadeo para enviar ondas de datos codificados, según descubrió Mordechai Guri.

El método ETHERLED puede funcionar con otros periféricos o hardware que utilizan LED como indicadores operativos o de estado, como enrutadores, dispositivos de almacenamiento conectado a la red (NAS), impresoras, escáneres y otros dispositivos conectados.

En comparación con los métodos de exfiltración de datos divulgados anteriormente basados ​​en la emanación óptica que toman el control de los LED en  teclados  y módems, ETHERLED es un enfoque más encubierto y es menos probable que levante sospechas.

Detalles de ETHERLED

El ataque comienza con la instalación de malware en la computadora de destino que contiene una versión modificada del firmware para la tarjeta de red. Esto permite controlar la frecuencia, la duración y el color del parpadeo del LED.

1661443659 875 Revelan dos nuevos metodos que permiten filtrar datos de computadoras.webp ITB BARQUISIMETO 31/05/2023
Código para controlar indicadores LED

Alternativamente, el malware puede atacar directamente la unidad del controlador de interfaz de red (NIC). Esto para cambiar el estado de conectividad o para modular los LEDs necesarios para generar las señales.

1661443659 367 Revelan dos nuevos metodos que permiten filtrar datos de computadoras.webp ITB BARQUISIMETO 31/05/2023
Los tres posibles métodos de ataque

El investigador descubrió que el controlador malicioso puede explotar la funcionalidad de hardware documentada o no documentada para manipular las velocidades de conexión de la red y habilitar o deshabilitar la interfaz Ethernet, lo que genera parpadeos de luz y cambios de color.

1661443660 93 Revelan dos nuevos metodos que permiten filtrar datos de computadoras.webp ITB BARQUISIMETO 31/05/2023
Los indicadores de la tarjeta de red se encienden para transmitir señales 

Las pruebas de Guri muestran que cada trama de datos comienza con una secuencia de ‘1010’, para marcar el inicio del paquete. Luego, es seguida de un payload de 64 bits.

1661443660 992 Revelan dos nuevos metodos que permiten filtrar datos de computadoras.webp ITB BARQUISIMETO 31/05/2023
Contenido de la señal 

Exfiltración 

Para la exfiltración de datos a través de LEDs de estado único, se generaron puntos y rayas de código Morse con una duración entre 100 ms y 300 ms, separados por espacios de desactivación de indicadores entre 100 ms y 700 ms.

La tasa de bits del código Morse se puede aumentar hasta diez veces (10 m puntos, 30 m guiones y 10-70 ms espacios) cuando se usa el método de ataque de controlador/firmware.

Para capturar las señales de forma remota, los atacantes pueden usar cualquier cosa. Por ejemplo, cámaras de teléfonos inteligentes (hasta 30 metros), drones (hasta 50 m), cámaras web hackeadas(10 m), cámaras de vigilancia de hackeadas (30 m) y telescopios o cámaras con teleobjetivo o superzoom (más de 100 metros).

El tiempo necesario para filtrar secretos como contraseñas a través de ETHERLED oscila entre 1 segundo y 1.5 minutos, según el método de ataque utilizado. Entre 2.5 segundos y 4.2 minutos para claves privadas de Bitcoin y entre 42 segundos y una hora para claves RSA de 4096 bits.

1661443661 498 Revelan dos nuevos metodos que permiten filtrar datos de computadoras.webp ITB BARQUISIMETO 31/05/2023
Tiempos requeridos para transmitir secretos

Tal como ya dijimos, ETHERLED es eficaz en cualquier otro hardware en el que los LED se utilicen como indicadores operativos o de estado. Estos incluyen impresoras, enrutadores, escáneres, dispositivos de almacenamiento conectados a la red y otros dispositivos conectados.

Otros canales de exfiltración – GAIROSCOPE

Mordechai también publicó un artículo sobre ‘GAIROSCOPE’, un ataque a sistemas con espacio de aire que se basa en la generación de frecuencias de resonancia en el sistema objetivo, capturadas por el sensor giroscópico de un teléfono inteligente cercano (hasta 6 metros).

Este ataque comienza infectando los teléfonos inteligentes de los empleados de una organización objetivo con una aplicación maliciosa. Esto se puede lograr a través de numerosos vectores de ataque, que incluyen ingeniería social, sitios web infectados o anuncios maliciosos. Luego, el atacante abusa del acceso para obtener datos confidenciales, como credenciales o claves de cifrado. Posteriormente, codifica y transmite la información mediante el envío encubierto de ondas de sonido acústicas a través del altavoz del dispositivo.

Un teléfono inteligente infectado en las proximidades detecta la transmisión de datos y escucha a través del sensor de giroscopio incorporado en el dispositivo. Luego, los datos se demodulan, decodifican y envían al atacante a través de Wi-Fi debido a la corrupción ultrasónica. Este fenómeno afecta a los giroscopios MEMS en frecuencias de resonancia.

“Nuestro malware genera tonos ultrasónicos en las frecuencias de resonancia del giroscopio MEMS. Estas frecuencias inaudibles producen pequeñas oscilaciones mecánicas dentro del giroscopio del teléfono inteligente, que se pueden demodular en información binaria”.

El sonido inaudible, cuando se reproduce cerca del giroscopio, genera una interrupción interna en la salida de la señal y este error puede aprovecharse para codificar/decodificar datos. Según el informe, los datos se transfieren con tasas de bits de 1 a 8 bits por segundo a una distancia de 0 a 600 cm, y la transmisión alcanza una distancia de 800 cm en áreas estrechas.

Otros ataques

En julio, el mismo investigador presentó el ataque ‘SATAn’. SATAn utiliza cables SATA dentro de las computadoras como antenas, generando ondas electromagnéticas portadoras de datos que pueden ser capturadas por computadoras portátiles cercanas (hasta 1.2 metros).

La colección completa de métodos de ataques para vulnerar sistemas con espacio de aire del Dr. Mordechai Guri se puede encontrar en una sección dedicada en el sitio web de la Universidad Ben-Gurion del Negev.



Noticia Confirmada

Leer más aquí


0 comentarios

Deja una respuesta

Marcador de posición del avatar

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos Ver más

  • Responsable: ITB BARQUISIMETO.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento: No se ceden o comunican datos a terceros para prestar este servicio.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.