Come rubare dati da un PC isolato da Internet attraverso il LED del suo hard disk usando un drone

I ricercatori della Ben Gurion University hanno sviluppato un malware in grado di esfiltrare i dati elaborati dal computer usando i suoi segnali luminosi

Se vi chiedessi di progettare una rete sicura da attacchi informatici, da cui sia impossibile porta via dati, in molti tra voi mi proporrebbero una struttura separata da Internet, nota anche come rete air-gapped.

bengurion_usb_data_exfiltration

Isolando un sistema dalla rete si ha l’erronea convinzione che un attaccante non possa in alcun modo accedere ai sistemi al suo interno. Nel corso degli anni molti gruppi di ricerca hanno messo a punto metodiche per esfiltrare informazioni da una rete isolata da internet, in questo i ricercatori del Cyber Security Research Center della Ben-Gurion University hanno fatto scuola.

I suoi ricercatori hanno dimostrato in passato come esfiltrare informazioni in diversi modi, ad esempio analizzando emissioni elettromagnetiche, sonore, e termiche di componenti all’interno dei sistemi obiettivo dell’attacco.

Rubare i dati grazie all’analisi delle emissioni elettromagnetiche

Oggi vi presento l’ultima ricerca del gruppo, che questa volta ha pensato bene di sfruttare il lampeggiamento dei led presenti sul disco fisso per portare fuori da reti isolate le informazioni in esso memorizzate.

I ricercatori hanno sviluppato un malware in grado di produrre il lampeggiamento del led a specifiche frequenza che sono utilizzate per la codifica delle informazioni in trasmissione.

Gli esperti hanno dimostrato che è possibile forzare il lampeggiamento del LED a circa 5,800 cicli per secondo, una frequenza che può consentire il trasferimento delle informazioni a circa 4Kbps, sufficienti per porta via password e chiavi crittografiche.

airgap

Gli esperti hanno dimostrato di poter far lampeggiare i LED circa 6000 volte per secondo, una frequenza che rende il lampeggiamento impercettibile ad un occhio umano, ma ancora interpretabile da un sensore.

Va detto che è estremamente semplice controllare il lampeggiamento del LED di un disco, basta infatti modulare opportunamente una sequenza di operazioni di lettura/scrittura mentre un software che in esecuzione sul ricevitore effettua la decodifica delle informazioni trasmesse.

È opportuno ricordare che la macchina da cui si intende esfiltrare le informazioni deve essere compromessa dal malware sviluppato dai ricercatori, impresa semplice se pensiamo alla possibilità di inoculare il malware attraverso una pennetta USB.

L’efficienza della tecnica di esfiltrazione dipende ovviamente dalle capacità dei componenti del ricevitore, diversi dispositivi consentono di ottenere differenti velocità di trasmissione come visibile della tabella seguente.

img_1

img_2

Ecco il video che dimostra come funziona il malware

In questo video diffuso dagli esperti un drone equipaggiato con un ricevitore viene fatto volare fuori dalla finestra di un ufficio al cui interno è posto un PC infettato dal codice malevolo sviluppato dai ricercatori. Il LED del PC è visibile al drone che quindi è in grado si osservarne il lampeggiamento ed interpretare i segnali trasmessi.

La tecnica è estremamente efficace e dimostra ancora una volta le molteplici possibilità che ha un attaccante per esfiltrare informazioni da una rete, anche nell’ipotesi essa sia separata da internet come potrebbe accadere in una infrastruttura critica.

Come proteggersi dagli attacchi

Va detto che vi sono diverse tecniche per rendere inefficace questo tipo di attacco, come ad esempio coprire il led con un adesivo, disabilitarlo, oppure utilizzare dei veri e propri software che effettuano una sorta di “jamming” alterando in maniera causale il lampeggiamento del LED.

I più curiosi tra voi possono leggere questo mio articolo scritto qualche mese fa in cui ho descritto le principali tecniche per l’esfiltrazione di dati da reti air-gapped, buona lettura.
Dimenticavo … è d’obbligo la lettura del paper che descrive la tecnica che abbiamo discusso in quest’articolo.