En forskare vid namn Mordechai Guri från Israels Ben Gurion University of the Negev, demonstrerade nyligen en ny typ av malware som kan användas för att dölja mycket känslig data från air-gapped-enheter och audio-gapped-system. Detta med hjälp av en ny akustisk quirk i strömförsörjningsenheter som levereras med moderna datorenheter.
Döpt “POWER-SUPPLaY” bygger den senaste forskningen på en serie tekniker som utnyttjar elektromagnetiska, akustiska, termiska och optiska covert-kanaler och till och med strömkablar för att filtrera ut data från datorer utan nätverk.
“Vår utvecklade malware kan utnyttja datorns strömförsörjningsenhet (PSU) för att spela ljud och använda den som en out-of-band, sekundär högtalare, med begränsad kapacitet,” beskrev Dr. Mordechai Guri i ett blad som publicerades 4 maj 2020.
“Den skadliga koden manipulerar strömförsörjningens interna kopplingsfrekvens och kontrollerar därmed ljudvågorna som genereras från dess kondensatorer och transformatorer.”
“Vi visar att vår teknik fungerar med olika typer av system: PC-arbetsstationer och servrar, liksom inbäddade system och IoT-enheter som inte har någon ljudhårdvara. Binära data kan moduleras och överföras via de akustiska signalerna.”
Att använda strömförsörjning som en out-of-band högtalare
Air-gapped-system anses vara en nödvändighet i miljöer där känslig data är involverad i ett försök att minska risken för dataläckage. Enheterna har vanligtvis ljudhårdvaran inaktiverad för att förhindra att motståndare utnyttjar de inbyggda högtalarna och mikrofonerna för att skaffa information via ljud- och ultraljudsvågor.
Det kräver också att både sändnings- och mottagningsmaskinerna placeras fysiskt nära varandra och att de är infekterade med lämplig malware för att upprätta kommunikationslänken, till exempel genom social engineering-kampanjer som utnyttjar målenhetens sårbarheter.
POWER-SUPPLaY fungerar på samma sätt genom att malware som körs på en dator kan dra nytta av sin PSU och använda den som en out-of-band-högtalare och därmed undvika behovet av specialiserad ljudhårdvara.
“Denna teknik möjliggör uppspelning av ljud från en dator även om ljudhårdvara är inaktiverad och högtalare inte finns”, säger forskaren. “Binära data kan moduleras och överföras via de akustiska signalerna. De akustiska signalerna kan sedan avlyssnas av en närliggande mottagare (t.ex. en smartphone), som demodulerar och avkodar data och skickar dem till angriparen via Internet.”
Med andra ord reglerar air-gap malware arbetsbelastningen för moderna CPUs för att kontrollera dess energiförbrukning och PSU:s switchfrekvens för att avge en akustisk signal i intervallet 0-24kHz och modulera binära data över den.
Air-Gapped-Enheter förbikoppling och spårning mellan enheter
Malware i den komprometterade datorn samlar då inte bara känslig data (filer, URL: er, tangenttryckningar, krypteringsnycklar, etc.), den överför också data i WAV-format med hjälp av de akustiska ljudvågor som avges från datorns strömförsörjning som avkodas av mottagaren – i detta fall en app som körs på en Android-smartphone.
Enligt forskaren kan en angripare filtrera ut data från audio-gapped-system till en närliggande telefonen som ligger 2,5 meter bort med en maximal bithastighet på 50 bit / sek.
En sekretessbrytande konsekvens av denna attack är cross-device tracking, eftersom denna teknik möjliggör för denna malware att fånga surfhistoriken på det komprimerade systemet och sända informationen till mottagaren.
Som en motåtgärd föreslår forskaren att känsliga system omplaneras i begränsade områden där mobiltelefoner och annan elektronisk utrustning är förbjuden. Att ha ett intrångsdetekteringssystem för att övervaka misstänkt CPU-beteende och att installera hårdvarubaserade signaldetektorer och störningar kan också hjälpa till att försvara sig mot den föreslagna hemliga kanalen.
Med air-gapped-enheter kärnkraftsanläggningar i Iran och Indien är målet för säkerhetsöverträdelser av den nya forskningen ännu en påminnelse om att komplexa försörjningskedjeangrepp kan riktas mot isolerade system.
“POWER-SUPPLaY-koden kan fungera från en vanlig user-mode process för användarläge och behöver inte hårdvaruåtkomst eller root-privilegier,” avslutade forskaren. “Denna föreslagna metod åberopar inte speciella systemsamtal eller får tillgång till hårdvaruressurser, och är därför mycket kringgående.”
Secure Your Organization’s Mind with Securemind.se