Denominato LANtenna Attack, è il nuovo tipo di attacco elettromagnetico che potrebbe consentire a un attore malevolo di carpire dati sensibili da PC air-gapped e trasmetterli via onde radio verso un ricevitore deputato a intercettare il segnale codificato e a inviarlo all’attaccante.
Secondo i risultati dell’ultima ricerca dell’Università Ben-Gurion di Negev (Israele), il meccanismo di esfiltrazione dei dati utilizzerebbe i cavi Ethernet come antenne trasmittenti.
Indice degli argomenti
Come nasce l’idea dell’attacco LANtenna
Le reti air-gapped sono progettate per ridurre al minimo il rischio di perdita d’informazioni e di altre minacce informatiche, garantendo un isolamento fisico di tutti i sistemi costituenti, evitando qualsivoglia connessione con altre reti locali o pubbliche.
Per tale motivo, se necessario, si preferisce solitamente realizzare reti di questo tipo strettamente cablate, provvedendo a disattivare eventuali interfacce di rete wireless di ciascun dispositivo componente.
Nasce così l’idea di provare a dimostrare come lo sfruttamento di un segnale radio trasmesso tramite i cavi Ethernet possa essere un ulteriore modo non convenzionale per far trapelare dati sensibili da computer air-gapped.
Nel rapporto tecnico “LANtenna: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables”, il ricercatore di sicurezza Mordechai Guri ha fornito dettagli sull’implementazione hardware/software di un possibile modello d’attacco, suggerendo anche una serie di contromisure.
Attacco Air-Fi, rubare dati da PC air-gapped usando segnali Wi-Fi segreti: i dettagli
Il modello d’attacco
Il modello di attacco ideato consisterebbe in tre fasi principali:
- la ricognizione: durante questa fase, gli aggressori raccolgono quante più informazioni possibili sul loro obiettivo, utilizzando vari strumenti e tecniche;
- l’infezione da malware secondo un approccio APT: l’installazione del malware sulla rete può avvenire attraverso vari vettori d’infezione quali, ad esempio, attacchi alla catena di approvvigionamento, unità USB, tecniche d’ingegneria sociale, insider malintenzionati;
- l’esfiltrazione dei dati: una volta raccolti i dati, il malware può così esfiltrarli, utilizzando il canale segreto. Nella fattispecie, i dati modulati vengono trasmessi attraverso le onde radio emesse dai cavi Ethernet. Un ricevitore radio, nascosto nelle vicinanze, può ricevere la trasmissione segreta decodificarla e inviarla a un attaccante remoto.
LANtenna Attack, gli esperimenti di prova
Per la valutazione della resa del modello d’attacco negli esperimenti sono stati impiegati come trasmettitori, tre tipi di stazioni di lavoro dotate di scheda Gigabit Ethernet 10/100/1000 Mbps, un laptop e un dispositivo integrato Raspberry Pi, e come antenne tre tipi di cavi Ethernet Cat 5e e Cat 6a.
Per innescare l’emanazione elettromagnetica per la modulazione dei dati e la comunicazione segreta, sono state usate due tecniche:
- Ethernet speed toggling. È stato osservato che cambiando la velocità delle porte Ethernet è possibile regolare la radiazione elettromagnetica (frequenza operazionale del cavo) e la sua ampiezza;
- la trasmissione di pacchetti UDP grezzi. Le attività dei livelli DATALINK (modello ISO/OSI) determinano il flusso di corrente sui fili di rame nei cavi Ethernet. Inviando pacchetti UDP grezzi è possibile innescare e regolare l’emissione elettromagnetica dal cavo Ethernet.
Invece, come ricevitori sono stati utilizzati due moduli SDR (Software-Defined Radio) rispettivamente con range di frequenza da 30 MHz a 1.8 GHz (R820T2 RTL-SDR) e da 1 MHz to 6 GHz (HackRF).
In un video, è stato dimostrato come i dati trasmessi da un computer air-gapped, con un segnale intorno ai 125 MHz (modulazione via Ethernet speed toggling) /250 MHz (trasmissione pacchetti UDP) attraverso il proprio cavo Ethernet, siano stati ricevuti a una distanza di circa 2 metri.
Considerazioni finali
I risultati ottenuti mostrerebbero come degli attaccanti possano trasmettere dati a diversi metri di distanza da reti air-gapped compromesse, utilizzando un canale segreto elettromagnetico e come questo attacco possa essere lanciato da un normale processo senza privilegi di root e anche all’interno di macchine virtuali.
A tal proposito come contromisure, la ricerca consiglia di vietare l’uso di ricevitori radio all’interno degli ambienti air-gapped e di monitorare l’attività delle schede di rete dei dispositivi in uso per rilevare qualsiasi canale nascosto, nonché di utilizzare disturbatori di segnale (jammer) e schermature per limitare l’interferenza dei campi elettromagnetici e proteggersi contro ogni tipo di attacco TEMPEST.
