malware, sursa alimentare, difuzor audio

Experiment: Surse de alimentare pot transmite malware ca difuzoare audio

Cercetătorul de securitate cibernetică Mordechai Guri, de la Universitatea Ben Gurion din Israel din Negev, a demonstrat recent un nou tip de malware care ar putea fi folosit pentru a fura ascuns date foarte sensibile de la sisteme air-gapped, folosind o nouă șmecherie acustică din sursele de alimentare ale computerelor moderne.

Numită „POWER-SUPPLaY”, cea mai recentă cercetare se bazează pe o serie de tehnici care utilizează canale electromagnetice, acustice, termice, optice și chiar cabluri de alimentare pentru a exfiltra datele de pe computerele care nu sunt în rețea.

„Malware-ul nostru dezvoltat poate exploata sursa de alimentare a computerului (PSU) pentru a reda sunete și să o folosească ca difuzor secundar out-of-band, cu capacități limitate”, a subliniat dr. Guri într-o lucrare publicată recent.

„Codul malițios manipulează frecvența de comutare internă a sursei de alimentare și, prin urmare, controlează formele de undă sonore generate de condensatoarele și transformatoarele sale.”

„Astfel, arătăm că tehnica noastră funcționează cu diferite tipuri de sisteme: PC-uri și servere, precum și sisteme încorporate și dispozitive IoT care nu au hardware audio. Datele binare pot fi modulate și transmise prin semnale acustice.”

Utilizarea sursei de alimentare ca difuzor out-of-band

Sistemele air-gapped sunt considerate o necesitate în mediile în care datele sensibile sunt implicate într-o încercare de a reduce riscul de scurgere a lor. Dispozitivele au de obicei hardware-ul audio dezactivat, astfel încât împiedicarea adversarilor să folosească difuzoarele și microfoanele încorporate pentru a fura informații cu ajutorul unor unde sonice și ultrasonice.

De asemenea, este necesar ca atât aparatele de transmisie cât și cele receptoare să fie localizate într-o apropiere fizică strânsă una de cealaltă și să fie infectate cu programele malware adecvate pentru a stabili legătura de comunicare, cum ar fi prin campanii de inginerie socială care exploatează vulnerabilitățile dispozitivului țintă.

POWER-SUPPLaY funcționează în același mod în care malware-ul care rulează pe un computer poate profita de PSU-ul său și îl poate folosi ca difuzor out-of-band, evitând astfel nevoia de hardware audio specializat.

„Această tehnică permite redarea fluxurilor audio de la un computer chiar și atunci când hardware-ul audio este dezactivat, iar difuzoarele nu sunt prezente”, a spus cercetătorul. „Datele binare pot fi modulate și transmise prin semnale acustice. Semnalele acustice pot fi apoi interceptate de un receptor din apropiere (de exemplu, un smartphone), care demodulează și decodifică datele și le trimite atacatorului prin Internet.”

Altfel spus, malware-ul air-gap reglementează volumul de lucru al procesoarelor moderne pentru a controla consumul său de energie și frecvența de comutare a alimentatorului pentru a emite un semnal acustic în intervalul 0-24kHz și a modula datele binare peste el.

Air-Gap Bypass și Cross-Device Tracking

Apoi, malware-ul din computerul compromis nu adună numai date sensibile (fișiere, adrese URL, apăsări de taste, chei de criptare etc.), ci transmite date în format WAV folosind undele sonore acustice emise de la sursa de alimentare a computerului, care este decodate de către receptor – în acest caz, o aplicație care rulează pe un smartphone Android.

Potrivit cercetătorului, un atacator poate exfiltra date din sistemele audio-gapped în telefonul din apropiere situat la 2,5 metri distanță, cu o rată maximă de 50 biți/sec.

Una dintre consecințele care afectează confidențialitatea acestui atac este urmărirea dintre dispozitive (cross-device tracking), deoarece această tehnică permite malware-ului să capteze istoricul de navigare a sistemului compromis și să transmită informațiile către receptor.

Ca o contramăsură, cercetătorul sugerează sisteme sensibile la zonare aflate în zone restrânse în care telefoanele mobile și alte echipamente electronice sunt interzise. Dispunerea de un sistem de detectare a intruziunilor pentru a monitoriza comportamentul suspect al procesorului și configurarea detectoarelor și blocajelor de semnal bazate pe hardware ar putea ajuta, de asemenea, să se apere împotriva canalului ascuns respectiv.

Având în vedere că instalațiile nucleare din Iran și India vizează încălcările de securitate, noua cercetare este un alt nou memento că atacurile complexe ale lanțului de aprovizionare pot fi îndreptate împotriva sistemelor izolate.

„Codul POWER-SUPPLaY poate funcționa dintr-un proces obișnuit în modul utilizator și nu are nevoie de acces hardware sau privilegii root”, a concluzionat cercetătorul. „Această metodă propusă nu invocă sesiuni speciale de sistem sau nu accesează resurse hardware și, prin urmare, este extrem de evazivă.”

Patrick
Acum 15 ani îmi căutam locul în lumea profesionala. Am căutat să îmi aleg un domeniu care să-mi placă, să mă caracterizeze și am început să tatonez mai multe terenuri, printre care și geografia turistică. În scurt timp am renunțat la studiul geografiei turistice din motive personale și familiale pentru un job în IT, care începea să devină la modă pe atunci. Astfel că am început lucrul la o companie de furnizare servicii de internet care a început în cartierul în care locuiam și în câțiva ani s-a extins. Pe atunci aveam un PC cu procesor AMD low-end (chiar și pentru vremea aceea) cu care am început să învăț software: programare, design grafic (începusem pasiunea pentru Adobe Photoshop cu care astazi am avansat la post-procesare fotografii și pictură digitală, ilustrație etc.), dintre care și web design, domeniu în care am început, pe atunci, destul de timid și cu multe greșeli. În timp, mi-am construit un portfoliu de lucrări, am câștigat câțiva clienți, iar apoi, după câțiva ani mi-a crescut reputația odată cu avansarea în tehnologie, pentru ca recent să-mi înființez Studiourile Cydrone, o companie-studio de creație digitală. Am trecut de la HTML4, XHTML, la HTML5 si CSS3, apoi la CMS web developing. Nu am ratat nici domeniul bloggingului și mi-am pornit primul meu blog pe blogspot.com, apoi am trecut la domeniu propriu. Astăzi scriu pe diverse platforme, în primul rând pe cea personala, pe care am transformat-o într-o academie online (Cydrone Archetypal Academy) în care abordez teme avansate precum matematica de modelare (vă aduceți aminte că am început cu programarea? Nu degeaba…), geometrie sacră, fractali, modele numerologice de succes, stil de viață sănătos și conștient, afaceri de succes, antreprenoriat, dezvoltare personala, educație financiară, iar în al doilea rând am fondat Revista România Culturală, o platforma online în care promovez cultura română din toate timpurile (căreia îi sunt pe vecie recunoscător). Alte platforme pe care mai scriu sunt androidinfo.ro (știri și recenzii în tehnologie mobile și nu numai), infotimes.ro (știri generale), dar și pe medium.com, linkedin.com etc.
%d blogeri au apreciat: