Los académicos convierten las unidades de alimentación de Personal computer en altavoces para filtrar secretos de sistemas con espacios de aire


unidad de fuente de alimentación de la computadora

Imagen: IgorShubin

Académicos de una universidad israelí han publicado una nueva investigación la semana pasada que muestra cómo un atacante podría convertir la unidad de suministro de energía de una computadora en un altavoz rudimentario que puede transmitir secretamente datos de un host infectado utilizando ondas de audio.

La técnica, denominada Power-SUPPLaY, es obra de Mordechai Guri, jefe de I + D de la Universidad Ben-Gurion del Negev, en Israel.

Durante la última media década, Guri ha sido pionera en la investigación de nuevos canales de exfiltración de datos encubiertos. Las técnicas que Guri ha estado desarrollando pueden usarse para robar datos a través de medios no convencionales.

Guri ha estado desarrollando estas técnicas específicamente para extraer datos de sistemas con espacios de aire, computadoras aisladas en redes locales sin acceso a Net.

Dichas computadoras a menudo se usan en redes gubernamentales o corporativas para almacenar datos confidenciales, como archivos clasificados o propiedad intelectual.

Los sistemas con espacio de aire están protegidos por varias capas de defensas, además del «espacio de aire», y necesita nuevas técnicas de transmisión de datos para sortear estas defensas.

Por ejemplo, algunos sistemas con espacios de aire no tienen altavoces, porque en el pasado se ha demostrado que se puede abusar de los altavoces para filtrar información de un sistema seguro utilizando ondas de sonido inaudibles.

Conozca Energy-SUPPLaY, una nueva técnica de extracción de datos.

En un documento de investigación compartido con ZDNet ayer, Guri dijo que la técnica Electrical power-SUPPLaY fue desarrollada para este tipo de situaciones, donde los altavoces se han eliminado de los sistemas con espacios de aire.

Al usar malware especialmente diseñado, el investigador israelí dice que una unidad de fuente de alimentación (PSU) se puede transformar en un altavoz muy easy capaz de emitir las ondas de audio más básicas.

(Guri solo ha desarrollado y estudiado la técnica de exfiltración de datos. El trabajo de Guri no se centra en plantar el malware en sistemas con espacio de aire o acercarse a un sistema con espacio de aire para robar datos. Esto está fuera del alcance de su proyecto).

Guri dice que el truco detrás de la técnica de SUMINISTRO DE ENERGÍA es manipular la energía dentro de los condensadores de una fuente de alimentación para desencadenar un «fenómeno de condensador de canto».

Este fenómeno genera ondas acústicas cuando la corriente pasa a través de un condensador a varias frecuencias. Al controlar las frecuencias de potencia, el código malicioso Electricity-SUPPLaY también puede controlar las ondas de audio y, por lo tanto, ocultar datos dentro de él.

singing-capacitor.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/05/04/f87aa0d6-39cb-4da8-b9f5-bfff558960ef/singing-capacitor.png

Imagen: Mordecai Guri

«Nuestra técnica funciona con varios tipos de sistemas: estaciones de trabajo y servidores de Pc, así como sistemas integrados y dispositivos IoT que no tienen components de audio.

«Los datos binarios pueden ser modulados y transmitidos a través de las señales acústicas. Las señales acústicas pueden ser interceptadas por un receptor cercano (p. Ej., Un teléfono inteligente), que demodula y decodifica los datos y los envía al atacante a través de Internet». adicional.

(incrustar) https://www.youtube.com/observe?v=VTTq-wBFu-o (/ incrustar)

La principal ventaja de la técnica Electricity-SUPPLaY es que el malware no necesita privilegios especiales.

«El código de transmisión puede iniciarse desde un proceso ordinario de espacio de usuario y es muy evasivo», dijo Guri.

Ability-SUPPLaY puede transmitir datos a una distancia de hasta seis metros

La desventaja es que el ataque no es extremadamente rápido, no puede transmitir datos a grandes distancias y está sujeto a ruido de fondo que puede afectar la calidad de la transmisión, lo que hace que la exfiltración en algunos escenarios sea casi imposible.

Guri dijo que la distancia a la que funciona Energy-SUPPLaY generalmente depende de la marca PSU y de la tasa de bits y las bandas de frecuencia a las que se codifican los datos robados y luego se transmiten a través de señales acústicas.

El académico israelí dijo que los experimentos han demostrado que las velocidades de exfiltración de Power-SUPPLaY pueden variar entre -40 bits / seg a distancias cortas de hasta 1 metro o -10 bits / seg cuando los datos necesitan viajar por más de 2 metros. La distancia máxima de transmisión registrada en el experimento fue de 6 metros.

Guri dijo que el primer método puede usarse de manera confiable para transmitir datos binarios, registros de pulsaciones de teclas, archivos de texto, and many others., mientras que las velocidades de bits más lentas podrían usarse para transferir una pequeña cantidad de datos, como textos cortos, claves de cifrado, contraseñas y pulsaciones de teclas.

Básicamente, cuanto más cerca pueda un atacante colocar un teléfono inteligente para grabar los sonidos provenientes de la computadora infectada, mejor será la velocidad y reducirá las tasas de error de transmisión.

Los detalles adicionales sobre la técnica y las posibles contramedidas están disponibles en un trabajo de investigación titulado «SUMINISTRO DE ENERGÍA: Fugas de datos de sistemas con espacios de aire al convertir los suministros de energía en altavoces«.

El equipo de Guri también ha trabajado anteriormente en otras técnicas de exfiltración de datos con espacio de aire, como:

  • LED-it-Go – extraiga datos de sistemas con espacios de aire a través del LED de actividad de un HDD
  • USBee – forzar el bus de datos de un conector USB para emitir emisiones electromagnéticas que se pueden utilizar para filtrar datos
  • AirHopper – use la tarjeta GPU area para emitir señales electromagnéticas a un teléfono móvil cercano, también usado para robar datos
  • Fansmitter – robar datos de Pc con espacios de aire utilizando sonidos emanados por el ventilador de la GPU de una computadora
  • DiskFiltration – utilice operaciones de HDD de lectura / escritura controladas para robar datos a través de ondas de sonido
  • BitWhisper – extrae datos de computadoras que no están en red usando emanaciones de calor
  • Ataque sin nombre – utiliza escáneres de superficie plana para transmitir comandos a Pc infestadas de malware o para filtrar datos de sistemas comprometidos
  • GSMem – robar datos de sistemas con espacios de aire que utilizan frecuencias celulares GSM
  • xLED – use enrutador o conmutador LED para filtrar datos
  • aIR-Jumper – use las capacidades infrarrojas de una cámara de seguridad para robar datos de redes con espacios de aire
  • HVACKer – use sistemas HVAC para controlar el malware en sistemas con espacios de aire
  • MAGNETO Y ODINI – robar datos de sistemas protegidos con jaula de Faraday
  • MOSQUITO – robar datos de Pc utilizando altavoces y auriculares conectados
  • PowerHammer – robar datos de sistemas con espacios de aire utilizando líneas eléctricas
  • CTRL-ALT-LED – robar datos de sistemas con espacios de aire utilizando LED de teclado
  • BRILLO – robar datos de sistemas con espacios de aire utilizando variaciones de brillo de la pantalla
  • AiR-ViBeR – robar datos usando las vibraciones del ventilador de una computadora

Categorizados en función de los canales de exfiltración, estos se ven así:

power-supplay-categories.png "src =" https://zdnet3.cbsistatic.com/hub/i/2020/05/04/e01cbafa-ce59-4bb5-b1a4-9524f53d88de/power-supplay-categories.png

Imagen: Mordecai Guri



Enlace a la noticia first