Un método de exfiltración de datos no convencional aprovecha un canal encubierto previamente no documentado para filtrar información confidencial de sistemas con brechas de aire.
«La información emana de la computadora con espacio de aire a través del aire a una distancia de 2 m y más y puede ser recogida por un infiltrado cercano o un espía con un teléfono móvil o una computadora portátil». Dr. Mordechai Guriel jefe de I + D en el Centro de Investigación de Seguridad Cibernética en la Universidad Ben Gurion del Negev en Israel y el jefe del Laboratorio de Investigación Cibernética Ofensivo-Defensivo, dijo en un nuevo papel compartido con The Hacker News.
El mecanismo, denominado COVID-bitaprovecha el malware plantado en la máquina para generar radiación electromagnética en la banda de frecuencia de 0-60 kHz que posteriormente se transmite y recoge un dispositivo receptor sigiloso en las proximidades físicas.
Esto, a su vez, es posible al explotar el consumo dinámico de energía de las computadoras modernas y al manipular las cargas momentáneas en los núcleos de la CPU.
COVID-bit es el última técnica diseñado por el Dr. Guri este año, después de SATAn, GAIROSCOPE y ETHERLED, que están diseñados para saltar por encima de los espacios de aire y recopilar datos confidenciales.
Las redes air-gapped, a pesar de su alto nivel de aislamiento, pueden verse comprometidas por diversas estrategias, como unidades USB infectadasataques a la cadena de suministro e incluso infiltrados deshonestos.
Sin embargo, filtrar los datos después de violar la red es un desafío debido a la falta de conectividad a Internet, lo que requiere que los atacantes inventen métodos especiales para entregar la información.
El bit COVID es uno de esos canales encubiertos que utiliza el malware para transmitir información aprovechando las emisiones electromagnéticas de un componente llamado fuente de alimentación conmutada (SMPS) y utilizando un mecanismo llamado modulación por desplazamiento de frecuencia (FSK) para codificar los datos binarios.
«Al regular la carga de trabajo de la CPU, es posible gobernar su consumo de energía y, por lo tanto, controlar la frecuencia de conmutación momentánea del SMPS», explica el Dr. Guri.
«La radiación electromagnética generada por este proceso intencional se puede recibir a distancia usando antenas apropiadas» que cuestan tan solo $ 1 y se pueden conectar al conector de audio de 3,5 mm de un teléfono para capturar las señales de baja frecuencia en un ancho de banda de 1000 bps.
Luego, las emanaciones se demodulan para extraer los datos. El ataque también es evasivo porque el código malicioso no requiere privilegios elevados y puede ejecutarse desde dentro de una máquina virtual.
Una evaluación de las transmisiones de datos revela que las pulsaciones de teclas se pueden filtrar casi en tiempo real, con direcciones IP y MAC que tardan entre menos de 0,1 segundos y 16 segundos, según la tasa de bits.
Las contramedidas contra el canal encubierto propuesto incluyen llevar a cabo un análisis de código de operación dinámico para marcar amenazas, iniciar cargas de trabajo aleatorias en los procesadores de la CPU cuando se detecta actividad anómala y monitorear o bloquear señales en el espectro de 0-60 kHz.