top of page
  • Poza scriitoruluiRobert

LANtenna Attack : Cablul de Retea fura date din sisteme "Air-Gapped"

Un mecanism nou descoperit de exfiltrare a datelor folosește cabluri Ethernet ca o "antenă de transmisie" pentru a sifona pe furiș date extrem de sensibile din sistemele cu aer comprimat, potrivit celor mai recente cercetări.


"Este interesant faptul că firele care au venit pentru a proteja golul de aer devin vulnerabilitatea decalajului aerian în acest atac", a declarat dr. Mordechai Guri, șeful R&D din cadrul Centrului de Cercetare a Securității Cibernetice din cadrul Universității Ben Gurion din Negev din Israel, pentru The Hacker News.


Supranumită "LANtenna Attack", noua tehnică permite codului rău intenționat din computerele cu aer să acumuleze date sensibile și apoi să le codifice peste undele radio emanate de cabluri Ethernet la fel ca în cazul în care acestea sunt antene. Semnalele transmise pot fi apoi interceptate de un receptor radio (SDR) definit de software din apropiere fără fir, datele decodate și trimise unui atacator care se află într-o cameră adiacentă.


"În special, codul rău intenționat poate rula într-un proces obișnuit de mod utilizator și poate funcționa cu succes din interiorul unei mașini virtuale", au notat cercetătorii într-o lucrare însoțitoare intitulată "LANTENNA: Exfiltrarea datelor din rețelele air-gapped prin cabluri Ethernet".


Rețelele cu acoperire aeriană sunt concepute ca o măsură de securitate a rețelei pentru a minimiza riscul de scurgere a informațiilor și de alte amenințări cibernetice, asigurându-se că unul sau mai multe computere sunt izolate fizic de alte rețele, cum ar fi internetul sau o rețea locală. Acestea sunt de obicei cu fir, deoarece mașinile care fac parte din astfel de rețele au interfețele lor de rețea fără fir dezactivate permanent sau eliminate fizic.


Aceasta este departe de a fi prima dată când Dr. Guri a demonstrat modalități neconvenționale de a scurge date sensibile de la computerele cu aer comprimat. În februarie 2020, cercetătorul în domeniul securității a conceput o metodă care utilizează mici modificări ale luminozității ecranului LCD, care rămân invizibile cu ochiul liber, pentru a modula informațiile binare în modele asemănătoare codului morse pe ascuns.





Apoi, în mai 2020, Dr. Guri a arătat cum malware-ul ar putea exploata unitatea de alimentare a unui computer (PSU) pentru a reda sunete și a-l folosi ca difuzor secundar în afara benzii pentru a scurge date într-un atac numit "POWER-SUPPLaY".


În cele din urmă, în decembrie 2020, cercetătorul a prezentat "AIR-FI", un atac care utilizează semnalele Wi-Fi ca un canal ascuns pentru a exfiltra informații confidențiale fără a necesita chiar prezența hardware-ului Wi-Fi dedicat pe sistemele vizate.


Atacul LANtenna nu este diferit prin faptul că funcționează prin utilizarea malware-ului în stația de lucru cu aer comprimat pentru a induce cablul Ethernet să genereze emisii electromagnetice în benzile de frecvență de 125 MHz care sunt apoi modulate și interceptate de un receptor radio din apropiere. Într-o demonstrație proof-of-concept, datele transmise de la un computer cu aer prin cablul său Ethernet au fost primite la o distanță de 200 cm distanță.


Ca și alte atacuri de scurgere a datelor de acest tip, declanșarea infecției necesită implementarea malware-ului în rețeaua țintă prin intermediul oricăruia dintre diferiții vectori de infecție care variază de la atacuri în lanțul de aprovizionare sau unități USB contaminate la tehnici de inginerie socială, acreditări furate sau prin utilizarea unor persoane rău intenționate din interior.


Ca contramăsuri, cercetătorii propun interzicerea utilizării receptoarelor radio în și în jurul rețelelor cu aer și monitorizarea activității stratului de legătură a plăcii de interfață de rețea pentru orice canal sub acoperire, precum și bruierea semnalelor și utilizarea ecranării metalice pentru a limita câmpurile electromagnetice să interfereze cu sau să emane din firele ecranate.


"Această lucrare arată că atacatorii pot exploata cablurile Ethernet pentru a exfiltra datele din rețelele cu aer", au spus cercetătorii în lucrare. "Programele malware instalate într-o stație de lucru securizată, laptop sau dispozitiv încorporat pot invoca diverse activități de rețea care generează emisii electromagnetice de la cabluri ethernet."


"Antenele dedicate și scumpe produc o distanță mai bună și ar putea ajunge la zeci de metri cu unele cabluri", a adăugat dr. Guri.

42 afișări0 comentarii
bottom of page