El investigador de seguridad cibernética Mordechai Guri de la Universidad Ben Gurion del Negev de Israel demostró recientemente un nuevo tipo de malware que podría usarse para robar de forma encubierta datos altamente confidenciales de sistemas con brechas de aire y audio utilizando una peculiaridad acústica novedosa en las unidades de fuente de alimentación que vienen con dispositivos informáticos modernos.
Apodado ‘POWER-SUPPLaY’, la investigación más reciente se basa en una serie de técnicas que aprovechan los canales encubiertos electromagnéticos, acústicos, térmicos y ópticos e incluso los cables de alimentación para filtrar datos de computadoras que no están conectadas a la red.
«Nuestro malware desarrollado puede explotar la unidad de fuente de alimentación (PSU) de la computadora para reproducir sonidos y usarlo como un altavoz secundario fuera de banda con capacidades limitadas», dijo el Dr. Guri se describe en un artículo publicado hoy y compartido con The Hacker News.
«El código malicioso manipula la frecuencia de conmutación interna de la fuente de alimentación y, por lo tanto, controla las formas de onda de sonido generadas por sus condensadores y transformadores».
«Demostramos que nuestra técnica funciona con varios tipos de sistemas: estaciones de trabajo y servidores de PC, así como sistemas integrados y dispositivos IoT que no tienen hardware de audio. Los datos binarios se pueden modular y transmitir a través de señales acústicas».
Uso de la fuente de alimentación como altavoz fuera de banda
Los sistemas con espacio de aire se consideran una necesidad en entornos donde se involucran datos confidenciales en un intento de reducir el riesgo de fuga de datos. Los dispositivos generalmente tienen su hardware de audio desactivado para evitar que los adversarios aprovechen los parlantes y micrófonos incorporados para robar información a través de ondas sónicas y ultrasónicas.
Por lo tanto, la implementación de malware air-gap requiere que tanto las máquinas transmisoras como las receptoras estén ubicadas en estrecha proximidad física entre sí y que estén infectadas con el malware adecuado para establecer el enlace de comunicación, por ejemplo, a través de campañas de ingeniería social que explotan las vulnerabilidades del dispositivo de destino. .
POWER-SUPPLaY funciona de la misma manera en que el malware que se ejecuta en una PC puede aprovechar su fuente de alimentación y usarla como un altavoz fuera de banda, evitando así la necesidad de hardware de audio especializado.
«Esta técnica permite reproducir secuencias de audio desde una computadora incluso cuando el hardware de audio está desactivado y los altavoces no están presentes», dijo el investigador. «Los datos binarios se pueden modular y transmitir a través de las señales acústicas. Las señales acústicas pueden ser interceptadas por un receptor cercano (por ejemplo, un teléfono inteligente), que demodula y decodifica los datos y los envía al atacante a través de Internet».
Dicho de otra manera, el malware air-gap regula la carga de trabajo de las CPU modernas para controlar su consumo de energía y la frecuencia de conmutación de la fuente de alimentación para emitir una señal acústica en el rango de 0-24 kHz y modular datos binarios sobre ella.
Derivación de espacio de aire y seguimiento de dispositivos cruzados
Entonces, el malware en la computadora comprometida no solo acumula datos confidenciales (archivos, URL, pulsaciones de teclas, claves de cifrado, etc.), sino que también transmite datos en formato WAV utilizando las ondas de sonido acústicas emitidas por la fuente de alimentación de la computadora, que se decodifica por el receptor, en este caso, una aplicación que se ejecuta en un teléfono inteligente Android.
Según el investigador, un atacante puede exfiltrar datos de sistemas con brechas de audio al teléfono cercano ubicado a 2,5 metros de distancia con una tasa de bits máxima de 50 bit/seg.
Una consecuencia de este ataque que rompe la privacidad es el seguimiento entre dispositivos, ya que esta técnica permite que el malware capture el historial de navegación en el sistema comprometido y transmita la información al receptor.
Como contramedida, los investigadores sugieren zonificar los sistemas sensibles en áreas restringidas donde los teléfonos móviles y otros equipos electrónicos están prohibidos. Tener un sistema de detección de intrusos para monitorear el comportamiento sospechoso de la CPU y configurar detectores de señales y bloqueadores basados en hardware también podría ayudar a defenderse contra el canal encubierto propuesto.
Con las instalaciones nucleares con brechas de aire en Irán e India como objetivo de violaciones de seguridad, la nueva investigación es otro recordatorio de que los ataques complejos de la cadena de suministro pueden dirigirse contra sistemas aislados.
«El código POWER-SUPPLaY puede funcionar desde un proceso de modo de usuario ordinario y no necesita acceso al hardware ni privilegios de root», concluyó el investigador. «Este método propuesto no invoca llamadas especiales al sistema ni accede a recursos de hardware y, por lo tanto, es muy evasivo».
