Un nuevo método diseñado para filtrar información y saltar por encima de los espacios de aire aprovecha el accesorio de tecnología avanzada en serie (sata) o cables Serial ATA como medio de comunicación, añadiendo a un Larga lista de métodos electromagnéticos, magnéticos, eléctricos, ópticos y acústicos ya demostrados para saquear datos.
“Aunque las computadoras con espacio de aire no tienen conectividad inalámbrica, mostramos que los atacantes pueden usar el cable SATA como una antena inalámbrica para transferir señales de radio en la banda de frecuencia de 6 GHz”, dijo el Dr. Mordechai Guri, jefe de I + D en el Centro de Investigación de Seguridad Cibernética. en la Universidad Ben Gurion del Negev en Israel, escribió en un artículo publicado la semana pasada.
La técnica, denominada Satánse aprovecha de la prevalencia de la interfaz del bus de la computadora, lo que la hace “altamente disponible para los atacantes en una amplia gama de sistemas informáticos y entornos de TI”.
En pocas palabras, el objetivo es usar el cable SATA como un canal encubierto para emanar señales electromagnéticas y transferir una breve cantidad de información confidencial de computadoras altamente seguras y con espacio de aire de forma inalámbrica a un receptor cercano a más de 1 m de distancia.
Una red con espacio de aire es aquella que está físicamente aislada de cualquier otra red para aumentar su seguridad. El airgapping se considera un mecanismo esencial para salvaguardar sistemas de alto valor que son de gran interés para los actores de amenazas motivados por el espionaje.
Dicho esto, los ataques dirigidos a sistemas críticos de control de misiones han crecido en número y sofisticación en los últimos años, como se observó recientemente en el caso de Industroyer 2 y PIPEDREAM (también conocido como INCONTROLLER).
El Dr. Guri no es ajeno a la creación de técnicas novedosas para extraer datos confidenciales de redes fuera de línea, y el investigador ha inventado cuatro enfoques diferentes desde principios de 2020 que aprovechan varios canales secundarios para desviar información de manera subrepticia.
Estos incluyen BRIGHTNESS (brillo de la pantalla LCD), POWER-SUPPLaY (fuente de alimentación), AIR-FI (señales Wi-Fi) y LANtenna (cables Ethernet). El último enfoque no es diferente, ya que aprovecha el cable Serial ATA para lograr los mismos objetivos.
Serial ATA es una interfaz de bus y un estándar Integrated Drive Electronics (IDE) que se utiliza para transferir datos a velocidades más altas a dispositivos de almacenamiento masivo. Uno de sus principales usos es conectar unidades de disco duro (HDD), unidades de estado sólido (SSD) y unidades ópticas (CD/DVD) a la placa base de la computadora.
A diferencia de violar una red tradicional por medio de spear-phishing o abrevaderos, comprometer una red aislada requiere estrategias más complejas, como un ataque a la cadena de suministro, utilizando medios extraíbles (por ejemplo, Ladrón de USB y Ferry USB), o infiltrados deshonestos para plantar malware.
Para un adversario cuyo objetivo es robar información confidencial, datos financieros y propiedad intelectual, la penetración inicial es solo el comienzo de la cadena de ataque seguida por el reconocimiento, la recopilación y la filtración de datos a través de estaciones de trabajo que contienen interfaces SATA activas.
En la fase final de recepción de datos, los datos transmitidos se capturan a través de un receptor oculto o confían en un miembro malicioso de una organización para llevar un receptor de radio cerca del sistema de espacio de aire. “El receptor monitorea el espectro de 6 GHz en busca de una transmisión potencial, demodula los datos, los decodifica y los envía al atacante”, explicó el Dr. Guri.
Como contramedidas, se recomienda tomar medidas para evitar que el actor de la amenaza obtenga un punto de apoyo inicial, usar un sistema de monitoreo de radiofrecuencia (RF) externo para detectar anomalías en la banda de frecuencia de 6 GHz del sistema de espacio de aire o, alternativamente, contaminar la transmisión con operaciones aleatorias de lectura y escritura cuando se detecta una actividad sospechosa en un canal encubierto.