Eine unkonventionelle Methode zur Datenexfiltration nutzt einen bisher nicht dokumentierten verdeckten Kanal, um sensible Informationen aus luftgekapselten Systemen abzuschöpfen.
„Die Informationen werden über eine Entfernung von 2 m und mehr von dem abgekapselten Computer ausgestrahlt und können von einem Insider oder Spion in der Nähe mit einem Mobiltelefon oder Laptop abgefangen werden“, sagte Dr. Mordechai Guri, Leiter von Forschung und Entwicklung im Cyber Security Research Center an der Ben-Gurion-Universität des Negev in Israel und Leiter des Offensive-Defensive Cyber Research Lab, in einem neuen Papier, das The Hacker News vorliegt.
Der als COVID-Bit bezeichnete Mechanismus nutzt die auf dem Rechner installierte Malware, um elektromagnetische Strahlung im Frequenzband von 0-60 kHz zu erzeugen, die anschließend gesendet und von einem getarnten Empfangsgerät in unmittelbarer Nähe aufgefangen wird.
Dies wiederum ist möglich, indem der dynamische Stromverbrauch moderner Computer ausgenutzt und die momentane Belastung der CPU-Kerne manipuliert wird.
COVID-bit ist nach SATAn, GAIROSCOPE und ETHERLED die neueste Technik, die Dr. Guri in diesem Jahr entwickelt hat, um Luftlöcher zu überspringen und vertrauliche Daten abzufangen.
Netze mit Luftschleusen können trotz ihres hohen Isolationsgrades durch verschiedene Strategien kompromittiert werden, z. B. durch infizierte USB-Laufwerke, Angriffe auf die Lieferkette und sogar durch böswillige Insider.
Die Exfiltration der Daten nach dem Eindringen in das Netzwerk ist jedoch aufgrund der fehlenden Internetverbindung eine Herausforderung, so dass die Angreifer spezielle Methoden zur Übermittlung der Informationen entwickeln müssen.
Das COVID-Bit ist ein solcher verdeckter Kanal, der von der Malware zur Übertragung von Informationen verwendet wird, indem sie die elektromagnetischen Emissionen einer Komponente namens Schaltnetzteil (SMPS) nutzt und einen Mechanismus namens Frequenzumtastung (FSK) zur Verschlüsselung der Binärdaten einsetzt.
„Indem man die Arbeitslast der CPU regelt, kann man ihren Stromverbrauch und damit die momentane Schaltfrequenz des SMPS steuern“, erklärt Dr. Guri.
„Die elektromagnetische Strahlung, die durch diesen absichtlichen Prozess erzeugt wird, kann aus der Ferne mit geeigneten Antennen empfangen werden“, die nur 1 $ kosten und an die 3,5-mm-Audiobuchse eines Telefons angeschlossen werden können, um die niederfrequenten Signale mit einer Bandbreite von 1.000 bps zu erfassen.
Die Emanationen werden dann demoduliert, um die Daten zu extrahieren. Der Angriff ist auch insofern ein Ausweichmanöver, als der bösartige Code keine erhöhten Rechte erfordert und von einer virtuellen Maschine aus ausgeführt werden kann.
Eine Auswertung der Datenübertragungen zeigt, dass Tastenanschläge nahezu in Echtzeit exfiltriert werden können, wobei die IP- und MAC-Adressen je nach Bitrate zwischen weniger als 0,1 Sekunden und 16 Sekunden benötigen.
Zu den Gegenmaßnahmen gegen den vorgeschlagenen verdeckten Kanal gehören die Durchführung einer dynamischen Opcode-Analyse, um Bedrohungen zu erkennen, die Einleitung zufälliger Arbeitslasten auf den CPU-Prozessoren, wenn eine anomale Aktivität festgestellt wird, und die Überwachung oder Störung von Signalen im Spektrum von 0-60 kHz.
Fanden Sie diesen Artikel interessant? Folgen Sie uns auf Twitter und LinkedIn, um weitere exklusive Inhalte von uns zu lesen.
Einige Teile dieses Artikels stammen aus:
thehackernews.com
Apple erhöht die Sicherheit mit neuen iMessage-, Apple ID- und iCloud-Schutzfunktionen