Il ricercatore di sicurezza Mordechai Guri, capo della ricerca e sviluppo nel Cyber Security Research Center dell’Università Ben Gurion del Negev in Israele, ha escogitato una tecnica di esfiltrazione dei dati da un PC, ribattezzata ETHERLED, che prevede l’invio di segnali in codice Morse tramite i LED delle schede di interfaccia di rete.
Una scheda di interfaccia di rete, lo ricordiamo, è un componente hardware del computer che collega il PC ad una rete di computer. I LED integrati nel connettore di rete notificano all’utente l’attività e lo stato della rete.
“Il malware installato sul dispositivo potrebbe controllare in modo programmatico il LED di stato facendo lampeggiare o alternare i suoi colori, utilizzando metodi documentati o comandi firmware non documentati. Le informazioni possono essere codificate tramite una semplice codifica come il codice Morse e modulate su questi segnali ottici. Un aggressore può intercettare e decodificare questi segnali da decine a centinaia di metri di distanza”, si legge sul rapporto pubblicato dal ricercatore.
Ricordiamo, inoltre, che di recente lo stesso ricercatore ha delineato anche la tecnica Gairoscope, un metodo per esfiltrare dei dati da sistemi air-gapped tramite ultrasuoni trasmessi ai giroscopi integrati sugli smartphone.
Indice degli argomenti
ETHERLED: lo scenario d’attacco
L’approccio ETHERLED, prevede una violazione preventiva dell’ambiente di destinazione per iniettare un malware che può controllare gli indicatori LED di stato della scheda NIC, in tre modi:
- controllando direttamente il driver/firmware della scheda di rete. Questo metodo consente il massimo grado di controllo sui LED, ma è piuttosto vincolato all’hardware in uso;
- controllando la velocità di collegamento della scheda di rete. Ad esempio, impostando la velocità di collegamento a 10 Mb, 100 Mb o 1 Gb, il LED di stato sarà rispettivamente spento, di colore verde e ambra;
- accendendo/spegnendo il LED di stato, abilitando e disabilitando l’interfaccia Ethernet tramite una API o strumenti come ethtool o eth.
Una volta che i dati vengono raccolti, codificati e inviati sul canale ottico segreto, i segnali ottici vengono successivamente ricevuti tramite una telecamera nascosta, posta con una visuale diretta con il computer trasmittente compromesso o in alternativa tramite una telecamera di sorveglianza vulnerabile o uno smartphone di un insider.
Inoltre, l’approccio ETHERLED può funzionare con qualsiasi periferica o hardware dotato di scheda Ethernet, come stampanti, telecamere e altri dispositivi IoT.
I risultati ottenuti
Le prove sul campo hanno mostrato che l’attacco può essere utilizzato per far trapelare vari tipi di informazioni, tra cui password, chiavi di crittografia RSA, chiavi Bitcoin, verso telecamere posizionate tra i 10 e i 50 metri, una distanza che può essere ulteriormente estesa impiegando un telescopio e lenti con messa a fuoco speciale.
Il tempo necessario alla trasmissione può variare a seconda del metodo di attacco utilizzato, da 2,5 secondi a 4,2 minuti per le chiavi Bitcoin private e da 42 secondi a 60 minuti per le chiavi RSA a 4096 bit.
Per l’esfiltrazione dei dati attraverso singoli LED di stato sono stati generati punti e tratti in codice Morse di durata compresa tra 100 ms e 300 ms, separati da spazi di disattivazione compresi tra 100 ms e 700 ms.
Come proteggersi
Le contromisure includono:
- limitazione nell’uso di telecamere e videoregistratori in zone sensibili;
- l’installazione di particolari vetri opachi nelle finestre;
- la copertura dei LED di stato con nastro nero per bloccare fisicamente l’emanazione ottica;
- la riprogrammazione delle impostazioni EEPROM delle schede NIC per fissare i colori e il lampeggiamento dei LED e contrastare lo schema di codifica;
- il disturbo dell’ambiente tramite jamming per aggiungere rumore casuale ai segnali modulati.
L’immagine sottostante riepiloga le contromisure all’attacco ETHERLED.
