Extracción de datos de equipos Air-Gapped a través de señales Wi-Fi (sin hardware Wi-Fi)

Un investigador de seguridad ha demostrado que se pueden extraer datos confidenciales de computadoras Air-Gapped mediante una técnica novedosa que aprovecha las señales de Wi-Fi como un canal encubierto, sorprendentemente, sin requerir la presencia de hardware de Wi-Fi en los sistemas de destino.

Apodado » AIR-FI «, el ataque se basa en la implementación de un malware especialmente diseñado en un sistema comprometido que explota «buses DDR SDRAM para generar emisiones electromagnéticas en las bandas Wi-Fi de 2.4 GHz» y transmitir información sobre estas frecuencias que luego pueden ser interceptadas y decodificados por dispositivos cercanos con capacidad Wi-Fi, como teléfonos inteligentes, computadoras portátiles y dispositivos de IoT, antes de enviar los datos a servidores remotos controlados por un atacante.

Los hallazgos fueron publicados hoy en un artículo titulado «AIR-FI: Generación de señales Wi-Fi encubiertas a partir de computadoras con Air-Gapped» por el Dr. Mordechai Guri , director de I + D del Centro de Investigación de Seguridad Cibernética de la Universidad Ben-Gurion del Negev.

«El ataque AIR-FI no […] requiere hardware relacionado con Wi-Fi en las computadoras con espacio de aire», señaló el Dr. Guri.

«En cambio, un atacante puede explotar los buses DDR SDRAM para generar emisiones electromagnéticas en las bandas Wi-Fi de 2,4 GHz y codificar datos binarios encima».

El Dr. Guri, a principios de mayo, también demostró POWER-SUPPLaY , un mecanismo separado que permite al malware explotar la unidad de fuente de alimentación (PSU) de una computadora para reproducir sonidos y usarla como un altavoz secundario fuera de banda para filtrar datos. .

Las computadoras Air-Gapped (máquinas sin interfaces de red) se consideran una necesidad en entornos donde se involucran datos confidenciales en un intento de reducir el riesgo de fuga de datos.

La cadena en sí misma consiste en una computadora Air-Gapped en la que se implementa el malware a través de señuelos de ingeniería social, gusanos autopropagados como Agent.BTZ , unidades flash USB manipuladas o incluso con la ayuda de personas internas malintencionadas.

También requiere infectar dispositivos con capacidad Wi-Fi ubicados en la red con Air-Gapped comprometiendo el firmware de los chips Wi-Fi para instalar malware capaz de detectar y decodificar la transmisión AIR-FI y exfiltrar los datos a través de Internet.

Con esta configuración en su lugar, el malware en el sistema de destino recopila los datos relevantes (por ejemplo, documentos confidenciales, credenciales, claves de encriptación), que luego se codifican y transmiten en la banda Wi-Fi a una frecuencia de 2.4 GHz utilizando las emisiones electromagnéticas generadas por los buses DDR SDRAM solían intercambiar datos entre la CPU y la memoria, derrotando así el aislamiento por espacio de aire.

señales wifi

Para generar las señales de Wi-Fi, el ataque hace uso del bus de datos (o bus de memoria) para emitir radiación electromagnética a una frecuencia correlacionada con el módulo de memoria DDR y las operaciones de lectura / escritura de memoria ejecutadas por procesos que se ejecutan actualmente en el sistema.