As tecnologias avançadas vêm com muitas ameaças em potencial. Quanto mais estamos conectados com a Internet, mais estamos em apuros. Os cibercriminosos estão sempre em busca de brechas para se infiltrar no sistema. Pode parecer estranho ou irreal, mas os criminosos podem exfiltrar dados do seu sistema simplesmente alterando o brilho da tela.
Nos últimos anos, vários pesquisadores de segurança cibernética demonstraram métodos inovadores para exfiltrar dados de um sistema air-gapped fisicamente isolado que não pode se conectar fisicamente ou sem fio a outros sistemas ou dispositivos de rede. Essas ideias se baseiam na exploração de emissões negligenciadas de componentes de computador, como som, calor, luz, ondas ultrassônicas ou frequências de rádio.
Essas técnicas incomuns, que podem parecer inúteis ou teóricas, podem desempenhar um papel vital na exfiltração de dados de um sistema infectado, mas com gap de ar. Neste artigo, discutiremos as técnicas de exfiltração de dados air-gapped mais comuns. Vamos começar com uma introdução.
O que é Air-Gap?
Uma lacuna de ar é uma medida de segurança na qual computadores, redes e outros sistemas não estão conectados a outros computadores, redes ou dispositivos. Ele é usado em instâncias que precisam de segurança hermética sem o risco de um desastre ou comprometimento. A abertura de ar garante o isolamento completo de um determinado sistema eletronicamente, eletromagneticamente e fisicamente.
Em palavras simples, os dados podem ser transferidos conectando-se apenas um dispositivo físico a ele, como um disco rígido externo, unidade flash ou DVD. Air-gapped protege computadores e redes de keyloggers, ransomware, malware ou outro acesso indesejado. Exemplos comuns incluem sistemas de computadores financeiros, redes governamentais ou equipamentos médicos computadorizados.
Quais são os benefícios do Air Gapping?
Aqui estão alguns dos benefícios do air gapping.
- Os dados não podem ser atualizados para refletir as mudanças em andamento, então o risco se torna obsoleto.
- É uma maneira fantástica de proteger sua infraestrutura crítica.
- Oferece maior segurança do que a arquitetura de backup convencional.
- As técnicas de abertura de ar limitam a capacidade de propagação do malware.
- Isso cria mais trabalho para os criminosos obterem dados com lacunas no ar.
- Melhora as chances de recuperação de ataques.
- O entreferro pode evitar vazamento ou destruição de dados devido a flutuações de energia.
- O computador ou rede está protegido contra qualquer malware que circule na Internet.
- É considerada a maneira mais confiável de proteger informações e dados de hackers devido à falta de conexão.
14 técnicas populares de exfiltração de dados com Air-Gap
Apesar do alto nível de segurança criado por um entreferro, algumas técnicas modernas foram antecipadas para encontrar uma maneira de violar os sistemas com entreferro. Aqui estão algumas das técnicas de exfiltração de dados air-gapped mais populares.
#1. Brilho do ecrã
Os invasores podem roubar dados de sistemas air-gapped sem exigir contração física ou conectividade de rede com dispositivos. O malware em um sistema comprometido pode obter dados confidenciais, como imagens, arquivos, senhas e chaves de criptografia, modulando-os com o brilho da tela. Nesta técnica, os criminosos usam pequenas modificações no brilho da tela LCD que permanecem invisíveis a olho nu.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
É feito para modular a informação binária em padrões semelhantes ao código morse. Por outro lado, os hackers podem coletar esse fluxo de dados por meio de uma gravação de vídeo da tela do sistema comprometido. Ela pode ser capturada por uma câmera de smartphone, câmera de vigilância local ou webcam e, em seguida, reconstruída as informações exfiltradas por meio de técnicas de processamento de imagem.
#2. Sinais Wi-Fi (sem hardware Wi-Fi)
Os dados confidenciais podem ser exfiltrados através de sistemas air-gapped usando uma técnica que usa sinais Wi-Fi como um canal secreto sem exigir a presença de hardware Wi-Fi nos sistemas de destino. Sistemas air-gapped sem interfaces de rede são considerados uma necessidade em ambientes onde dados críticos estão envolvidos na redução do risco de vazamento de dados.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
Os sistemas de transmissão e recepção devem estar localizados próximos uns dos outros para atacar tais sistemas. O AIR-FI é único no sentido de que o método não depende de um transmissor Wi-Fi para gerar sinais nem precisa de drivers de kernel, privilégios especiais como acesso a recursos de hardware para transmissão de dados. O canal secreto pode funcionar dentro de uma máquina virtual isolada, com uma lista interminável de dispositivos habilitados para Wi-Fi que podem ser comprometidos por um invasor.
#3. PowerHammer Attack – Linhas de energia
Apelidado de PowerHammer é a técnica mais recente que controla a utilização da CPU de um sistema air-gapped por meio de malware especialmente projetado e causando flutuações no fluxo atual nos padrões semelhantes ao código morse para transferir dicas de dados em formas binárias.
Para recuperar informações binárias moduladas, os hackers precisam implantar hardware para monitorar o fluxo atual e, em seguida, decodificar os dados exfiltrados. Os invasores podem exfiltrar dados de um sistema a uma velocidade de 10 a 1.000 bits por segundo com base em sua abordagem.
# 4. Ataque do MOSQUITO
MOSQUITO é uma nova técnica que funciona invertendo alto-falantes conectados no microfone, explorando um determinado recurso de chip de áudio. Como alguns fones de ouvido/alto-falantes/fones de ouvido respondem bem a uma faixa quase ultrassônica, esse hardware pode ser revertido para funcionar como um microfone.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
Quando se trata de comunicação secreta, é evidente que dois computadores não podem trocar dados por meio de sons audíveis, como fones de ouvido e alto-falantes. Portanto, ondas ultrassônicas inaudíveis fornecem o melhor canal acústico encoberto para comunicação de alto-falante para alto-falante.
#5. Ataque de armazenamento frio – roube chaves da carteira Bitcoin
Os ataques de armazenamento a frio não são uma nova técnica de hackers. Nesta técnica, todos os métodos de comunicação fora de banda descobertos anteriormente podem ser aproveitados para roubar chaves privadas para uma carteira de criptografia instalada em armazenamento a frio, de preferência um Raspberry Pi ou um computador com Air-Gap.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
Manter a criptomoeda protegida em uma carteira em um dispositivo offline é chamado de armazenamento a frio. No modelo de ataque adversário, um hacker se infiltra na carteira offline e a compromete com código malicioso. O malware pode ser pré-instalado ou enviado durante a instalação inicial da carteira. Ele também pode infectar o sistema quando uma mídia portátil é inserida na carteira para assinar uma transação.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
#6. Air-Jumper Attack – Câmeras IR CCTV
Outra técnica para roubar informações confidenciais do sistema air-gapped é com a ajuda de câmeras CCTV equipadas com infravermelho usadas para visão noturna. Um novo cenário de ataque, apelidado de aIR-Jumper, inclui um sistema air-gapped comprometido e uma rede de CFTV infectada, supondo que ambos estejam isolados e nenhum deles esteja conectado à Internet.
Para ler e transmitir dados, o malware aIR-Jumper instalado no sistema air-gapped e na rede CCTV piscam os LEDs IR nos padrões de código morse para enviar arquivos para os dados binários. No entanto, o ataque é usado para roubar arquivos em dados binários, para que os hackers não possam roubar arquivos grandes. Mas eles podem colocar as mãos em chaves criptográficas, senhas, códigos PIN e outros dados confidenciais.
# 7. Técnicas MAGNETO e ODINI – campos magnéticos gerados por CPU
As técnicas apelidadas de MAGENTO e ODINI fazem uso de malware de prova de conceito instalado em um sistema air-gapped dentro da gaiola de Faraday para controlar os campos magnéticos que emanam do sistema, regulando a carga de trabalho nos núcleos da CPU.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
Laboratórios de segurança cibernética @ Universidade Ben Gurion
Uma vez que um invasor consegue plantar malware em um sistema air-gapped, o malware reúne pequenas informações, como chaves de criptografia, dados de keylogging, senhas e tokens de credenciais. O malware PoC gera eletricamente um padrão de frequências de campo magnético regulando a carga de trabalho.
#8. Ataque USBee- Transmissões de radiofrequência a partir de conectores USB
A técnica apelidada de USBee vem com uma melhoria significativa em relação à exfiltração USB feita pela NSA chamada CottonMouth. Ao contrário do CottonMouth, o USBee não precisa de um invasor para contrabandear um dispositivo USB alterado para o computador com gap de ar direcionado. Em vez disso, ele transforma os dispositivos USB dentro da instalação em um transmissor de RF sem alterações.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
O USBee transforma as portas USB do sistema alvo em mini transmissores de radiofrequência modulando os dados inseridos em dispositivos conectados em alta velocidade. Em seguida, ele transmitirá uma sequência de bits ‘0’ para uma porta USB e o dispositivo gerará emissões detectáveis entre as frequências de 240 MHz e 480 MHz.
# 9. Sinais de som de ataque DiskFiltration emitidos do disco rígido
Essa técnica é usada para roubar dados confidenciais de um sistema infectado, mesmo que ele não esteja conectado à Internet, para evitar que o computador vaze informações armazenadas nele. Você pode ter observado algo girando e fazendo barulhos estranhos enquanto seu sistema lê ou grava dados em um disco rígido de armazenamento.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
É chamado de atuador, a bobina de voz, dentro do disco rígido que se move na placa do disco enquanto acessa determinados blocos de armazenamento. Essa técnica é rápida o suficiente para transmitir uma chave de 4096 bits em 25 minutos por meio de sinais sonoros manipulados emitidos da unidade de disco rígido.
#10. Ataque BitWhisper – Calor
Essa nova técnica permite que os invasores roubem senhas ou chaves de segurança de um computador protegido e enviem dados confidenciais para um dispositivo conectado à Internet colocado nas proximidades e controlado por eles. Eles também podem usar seus dispositivos conectados à Internet para enviar comandos maliciosos ao sistema air-gapped por meio dos mesmos métodos de calor e sensor para causar mais danos à infraestrutura segura.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
Os sensores térmicos presentes nos sistemas acionam os ventiladores internos para resfriar o sistema se componentes de superaquecimento, como GPU, CPU e outros elementos da placa-mãe, ameaçarem danificá-los. O BitWhisper aproveita esses sensores para enviar comandos para computadores air-gapped e extrair dados deles.
#11. AirHopper Attacks – placa de vídeo em um transmissor FM para capturar pressionamentos de tecla
AirHopper é um aplicativo de keylogger para rastrear o que está sendo digitado no sistema ou no celular. É um tipo especial de keylogger porque usa frequências para enviar dados de um sistema, tudo isso explorando o monitor do computador para evitar medidas de segurança de espaço aéreo.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
A tecnologia funciona aproveitando o receptor de rádio FM incluído em alguns telefones celulares. O AirHopper pode capturar pressionamentos de tecla interceptando emissões de rádio específicas da unidade de exibição ou monitor de um sistema isolado.
#12. Fansmitter ataque ruído emitido por um ventilador de computador para transmitir dados
Fansmitter é um malware que pode exfiltrar acusticamente dados do sistema air-gapped, mesmo quando os alto-falantes e o hardware de áudio não estão presentes. Essa técnica aproveita o ruído emitido pelas ventoinhas da CPU e do chassi presentes em todos os computadores virtualmente. O software pode regular a velocidade dos ventiladores internos para controlar a forma de onda acústica emitida por um sistema.
Os dados binários podem ser modulados e transmitidos pelos sinais de áudio para um microfone remoto. Os projetos do Fansmitter incluem análise de assinatura acústica, transmissão de dados e modulação de dados. Usando esta técnica, os dados de um sistema air-gapped podem ser transmitidos sem hardware de áudio.
#13. Ataque GSMem – Frequências celulares
Apesar de todas essas técnicas sofisticadas de equipamentos para hackear um sistema air-gapped, você pode fazê-lo usando um telefone celular, mesmo um telefone antiquado ou burro. Hackear um sistema air-gapped pode ser feito usando um telefone básico de baixo custo.
Laboratórios de segurança cibernética @ Universidade Ben Gurion
Esse ataque de hack que pode roubar dados de um sistema altamente seguro usa ondas eletromagnéticas, a rede GSM e telefones celulares de baixo custo. O ataque depende de malware instalado no telefone celular e no sistema air-gapped. Ele permite que hackers roubem informações confidenciais, como chaves de criptografia, senhas ou até coordenadas de GPS de um sistema air-gapped altamente seguro.
#14. Ataque de canal lateral
O ataque Side-Channel extrai a chave criptográfica secreta de um computador analisando o padrão de saídas eletromagnéticas e utilização de memória do PC emitida durante o processo de descriptografia.
Esses ataques realizados contra infraestrutura e equipamentos eletrônicos são relativamente baratos e mais simples de executar. Os criminosos não precisam conhecer certos detalhes de implementação do dispositivo criptográfico para executar esses ataques e extrair chaves.
Palavras Finais
A melhor prática é ser realista sobre o gap de ar. Pode funcionar e pode ser muito eficaz nas circunstâncias certas. Você não deve adotar uma mentalidade simplista e pensar que o sistema está com falta de ar, por isso é seguro. Esse conceito não funciona mais.
No entanto, é importante pensar nos resultados, vulnerabilidades e riscos desejados para uma determinada técnica de entreferro. Neste artigo, discutimos as técnicas de exfiltração de dados air-gapped mais populares. Conheça essas técnicas e mantenha seu sistema protegido contra possíveis ameaças.
Leia o Artigo Científico Completo
Fonte: TheSecMaster
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
