Un mecanismo de exfiltración de datos recientemente descubierto emplea cables Ethernet como una «antena de transmisión» para desviar sigilosamente datos altamente sensibles de sistemas con espacios de aire, según las últimas investigaciones.

«Es interesante que los cables que vinieron a proteger el espacio de aire se conviertan en la vulnerabilidad del espacio de aire en este ataque», dijo el Dr. Mordechai Guri, jefe de I + D en el Centro de Investigación de Seguridad Cibernética de la Universidad Ben Gurion del Negev en Israel, dijo a The Hacker News.

Apodada » LANtenna Attack «, la técnica novedosa permite que el código malicioso en computadoras con espacio de aire acumule datos confidenciales y luego los codifique a través de ondas de radio que emanan de cables Ethernet como si fueran antenas. Las señales transmitidas pueden luego ser interceptadas por un receptor de radio definido por software (SDR) cercano de forma inalámbrica, decodificar los datos y enviarlos a un atacante que se encuentra en una habitación adyacente.

«En particular, el código malicioso puede ejecutarse en un proceso de modo de usuario ordinario y funcionar con éxito desde dentro de una máquina virtual», señalaron los investigadores en un documento adjunto titulado «LANTENNA: extracción de datos de redes con espacio de aire a través de cables Ethernet».

Las redes con espacios abiertos están diseñadas como una medida de seguridad de la red para minimizar el riesgo de fuga de información y otras amenazas cibernéticas al garantizar que una o más computadoras estén físicamente aisladas de otras redes, como Internet o una red de área local. Por lo general, están cableados ya que las máquinas que forman parte de dichas redes tienen sus interfaces de red inalámbrica desactivadas permanentemente o eliminadas físicamente.

Esta está lejos de ser la primera vez que el Dr. Guri ha demostrado formas poco convencionales de filtrar datos confidenciales de computadoras con espacio de aire. En febrero de 2020, el investigador de seguridad ideó un método que emplea pequeños cambios en el brillo de la pantalla LCD, que permanece invisible a simple vista, para modular la información binaria en patrones similares al código morse de forma encubierta.

Luego, en mayo de 2020, el Dr. Guri mostró cómo el malware podía explotar la unidad de fuente de alimentación (PSU) de una computadora para reproducir sonidos y usarla como un altavoz secundario fuera de banda para filtrar datos en un ataque llamado » POWER-SUPPLaY «.

Por último, en diciembre de 2020, el investigador mostró » AIR-FI «, un ataque que aprovecha las señales de Wi-Fi como un canal encubierto sin requerir la presencia de hardware de Wi-Fi en los sistemas objetivo.

El ataque LANtenna no es diferente en que funciona usando el malware en la estación de trabajo con espacio de aire para inducir al cable Ethernet a generar emisiones electromagnéticas en las bandas de frecuencia de 125 MHz que luego son moduladas e interceptadas por un receptor de radio cercano. En una demostración de prueba de concepto, los datos transmitidos desde una computadora con espacio de aire a través de su cable Ethernet se recibieron a una distancia de 200 cm.

Como contramedidas, los investigadores proponen prohibir el uso de receptores de radio en y alrededor de redes con espacio de aire y monitorear la actividad de la capa de enlace de la tarjeta de interfaz de red para cualquier canal encubierto, así como bloquear las señales y usar blindaje metálico para limitar la interferencia de los campos electromagnéticos. con o que emana de los cables blindados.

«Este documento muestra que los atacantes pueden explotar los cables Ethernet para filtrar datos de redes con espacios de aire», dijeron los investigadores en el documento. «El malware instalado en una estación de trabajo segura, computadora portátil o dispositivo integrado puede invocar varias actividades de red que generan emisiones electromagnéticas de los cables Ethernet».

«Las antenas dedicadas y costosas ofrecen una mejor distancia y podrían alcanzar decenas de metros con algunos cables», agregó el Dr. Guri.

Fuente y redacción: thehackernews.com

Compartir