Zařízení se vzduchovou mezerou mohou posílat skryté Morseovy signály prostřednictvím LED diod síťové karty

Bezpečnostní výzkumník přišel s další technikou, která zahrnuje odesílání signálů Morseovy abecedy pomocí LED na kartách síťového rozhraní.

8. 9. 2022

Izraelský výzkumník Mordechai Guri objevil novou metodu exfiltrace dat ze systémů se vzduchovou mezerou pomocí LED indikátorů na síťových kartách. Tato metoda, nazvaná ETHERLED, mění blikající světla na signály Morseovy abecedy, které může útočník dekódovat.

Zachycování signálů vyžaduje kameru s přímou viditelností na LED světla na kartě počítače se vzduchovou mezerou. Ty lze převést na binární data a ukrást informace.

Jak ETHERLED funguje?

Systémy se vzduchovou mezerou jsou počítače, které se obvykle nacházejí ve vysoce citlivých prostředích (např. kritická infrastruktura, jednotky pro ovládání zbraní). Tyto počítače jsou z bezpečnostních důvodů izolovány od veřejného internetu, aby bylo zajištěno optimální zabezpečení dat. Systém tedy využívá sítě se vzduchovou mezerou, ve kterých síťová karta zůstává nedílnou součástí.

Podle Guriho výzkumu je tato karta náchylná k infekci, pokud ji útočník dokáže propojit se speciálně navrženým malwarem a nahradit ovladač jinou verzí. Tato nová verze může upravit barvu LED a mechanismus blikání pro přenos kódovaných datových vln. Alternativně může malware přímo napadnout jednotku pro řadič síťového rozhraní (NIC), aby změnil stav připojení nebo moduloval LED diody potřebné pro generování signálů.

Útok lze použít k úniku různých typů informací, včetně hesel, šifrovacích klíčů RSA, stisknutí kláves a textového obsahu, do kamer umístěných kdekoli mezi 10 a 50 m, což je vzdálenost, kterou lze pomocí dalekohledu a čočky se speciálním ohniskem dále prodloužit na několik set metrů. Metoda ETHERLED je navíc navržena tak, aby fungovala s jakýmkoli periferním zařízením nebo hardwarem dodávaným s ethernetovými kartami, jako jsou tiskárny, síťové kamery, zařízení NAS (Network-Attached Storage), vestavěné systémy a další zařízení IoT.

Protiopatření zahrnují omezení kamer a videorekordérů v citlivých zónách, překrytí stavových LED černou páskou pro fyzické blokování optického vyzařování, přeprogramování softwaru tak, aby překonal schéma kódování, a rušení prostředí, aby se do modulovaných signálů přidal náhodný šum.

Zdroje

https://www.hackread.com/etherled-gairoscope-exfiltration-air-gapped-pc

https://www.bleepingcomputer.com/news/security/etherled-air-gapped-systems-leak-data-via-network-card-leds/

https://thehackernews.com/2022/08/air-gapped-devices-can-send-covert.html

zpět

VISITECH a.s. je stabilní partner a odborník v oblasti kybernetické bezpečnosti a IT infrastruktury, informačních systémů a sítí firem a organizací. Jsme přední společností v oblasti skutečné kybernetické bezpečnosti.

KONTAKT

Košinova 655/59
612 00 Brno

info@visitech.cz
+420 538 700 880

IČ: 255 43 415
DIČ: CZ 255 43 415

vedený u Krajského soudu v Brně oddíl B,
vložka 6323

POBOČKY

Praha 4, Michle
Ohradní 1394/61
+420 274 776 890

KANCELÁŘ

Ostrava - Vítkovice
Ruská 83/24
+420 597 317 377

VISITECH a.s. 2021 © Všechna práva vyhrazena

Vectors by Vecteezy & Freepik.