Extracción de datos de computadoras con espacio de aire"Air-Gapped" a través de señales Wi-Fi (sin hardware Wi-Fi)

Un investigador de seguridad ha demostrado que se pueden extraer datos confidenciales de computadoras con espacio de aire a través de una técnica novedosa que aprovecha las señales Wi-Fi como un canal encubierto, sorprendentemente, sin requerir la presencia de hardware Wi-Fi en los sistemas objetivo.

Apodado 'AIR-FI', el ataque se basa en la implementación de un malware especialmente diseñado en un sistema comprometido que explota los 'buses DDR SDRAM para generar emisiones electromagnéticas en las bandas Wi-Fi de 2.4 GHz' y transmitir información sobre estas frecuencias que luego pueden ser interceptadas y decodificados por dispositivos cercanos con capacidad Wi-Fi, como teléfonos inteligentes, computadoras portátiles y dispositivos de IoT, antes de enviar los datos a servidores remotos controlados por un atacante.

Los hallazgos fueron publicados hoy en un artículo titulado 'AIR-FI: Generación de señales Wi-Fi encubiertas desde computadoras con espacio de aire' por el Dr. Mordechai Guri, director de I + D del Centro de Investigación de Seguridad Cibernética de la Universidad Ben-Gurion del Negev, Israel.

'El ataque AIR-FI no [...] requiere hardware relacionado con Wi-Fi en las computadoras con espacio de aire', señaló el Dr. Guri.

En cambio, un atacante puede explotar los buses DDR SDRAM para generar emisiones electromagnéticas en las bandas Wi-Fi de 2,4 GHz y codificar datos binarios encima'.

El Dr. Guri, a principios de mayo, también demostró POWER-SUPPLaY, un mecanismo separado que permite que el malware explote la unidad de fuente de alimentación (PSU) de una computadora para reproducir sonidos y usarla como un altavoz secundario fuera de banda para filtrar datos. .

Las computadoras con espacio de aire (máquinas sin interfaces de red) se consideran una necesidad en entornos donde se involucran datos confidenciales en un intento de reducir el riesgo de fuga de datos.

Por lo tanto, para llevar a cabo ataques contra dichos sistemas, a menudo es esencial que las máquinas transmisoras y receptoras estén ubicadas físicamente próximas entre sí y que estén infectadas con el malware apropiado para establecer el enlace de comunicación.

Pero AIR-FI es único en el sentido de que el método no depende de un transmisor Wi-Fi para generar señales ni requiere controladores de kernel, privilegios especiales como root o acceso a recursos de hardware para transmitir los datos.

Además, el canal encubierto funciona incluso desde dentro de una máquina virtual aislada y tiene una lista interminable de dispositivos habilitados para Wi-Fi que pueden ser pirateados por un atacante para actuar como un receptor potencial.

La cadena de muerte en sí misma consiste en una computadora con espacio de aire en la que se implementa el malware a través de señuelos de ingeniería social, gusanos autopropagados como Agent.BTZ, unidades flash USB manipuladas o incluso con la ayuda de personas internas malintencionadas.

También requiere infectar dispositivos con capacidad Wi-Fi ubicados en la red con espacio de aire comprometiendo el firmware de los chips Wi-Fi para instalar malware capaz de detectar y decodificar la transmisión AIR-FI y exfiltrar los datos a través de Internet.

Con esta configuración en su lugar, el malware en el sistema de destino recopila los datos relevantes (por ejemplo, documentos confidenciales, credenciales, claves de encriptación), que luego se codifican y transmiten en la banda Wi-Fi a una frecuencia de 2.4 GHz utilizando las emisiones electromagnéticas generadas por los buses DDR SDRAM solían intercambiar datos entre la CPU y la memoria, derrotando así el aislamiento por espacio de aire.

Para generar las señales de Wi-Fi, el ataque hace uso del bus de datos (o bus de memoria) para emitir radiación electromagnética a una frecuencia correlacionada con el módulo de memoria DDR y las operaciones de lectura / escritura de memoria ejecutadas por procesos que se ejecutan actualmente en el sistema.

AIR-FI se evaluó utilizando cuatro tipos de estaciones de trabajo con diferentes configuraciones de RAM y hardware, así como una radio definida por software (SDR) y un adaptador de red Wi-Fi USB que funcionaba como receptor, y se encontró que el canal encubierto se puede mantener de manera efectiva. a distancias de hasta varios metros de las computadoras con espacio de aire y logrando velocidades de bits que oscilan entre 1 y 100 bit / seg, dependiendo del tipo y modo de receptor utilizado.

En todo caso, la nueva investigación es un recordatorio más de que los componentes electromagnéticos, acústicos, térmicos y ópticos siguen siendo vectores lucrativos para montar sofisticados ataques de exfiltración contra instalaciones con espacios de aire.

Como contramedida, el Dr. Guri propone protecciones de zona para protegerse contra ataques electromagnéticos, permitiendo que los sistemas de detección de intrusos monitoreen e inspeccionen los procesos que realizan operaciones intensivas de transferencia de memoria, interrumpen las señales y usan escudos de Faraday para bloquear el canal encubierto.

El malware AIR-FI muestra 'cómo los atacantes pueden filtrar datos de computadoras con espacio de aire a un receptor Wi-Fi cercano a través de señales Wi-Fi', agregó.

Los entornos de TI modernos están equipados con muchos tipos de dispositivos con capacidad Wi-Fi: teléfonos inteligentes, computadoras portátiles, dispositivos IoT, sensores, sistemas integrados, relojes inteligentes y otros dispositivos portátiles. El atacante puede potencialmente piratear dicho equipo para recibir las transmisiones AIR-FI de computadoras con espacio de aire '.