.
Pesquisadores de segurança cibernética demonstraram um novo método de ataque cibernético que pode permitir que hackers mal-intencionados roubem informações de alguns dos computadores mais bem protegidos.
Os sistemas air-gapped são isolados da internet devido à natureza das informações que eles manipulam. A ideia é que, ao serem completamente removidos da Internet voltada para o público e do restante da rede, qualquer informação armazenada e processada dentro deles permaneça protegida contra acesso não autorizado por terceiros.
Normalmente, os sistemas air-gapped são encontrados em ambientes sensíveis ou de alto risco – que provavelmente são alvos tentadores para hackers mal-intencionados – incluindo infraestrutura crítica, satélite e redes militares.
Mas uma nova técnica demonstrada por pesquisadores da Universidade Ben-Gurion do Departamento de Engenharia de Software e Sistemas de Informação de Negev mostra que é possível que invasores violem sistemas isolados explorando a radiação eletromagnética de baixa frequência gerada pelo computador visado.
“O ataque é altamente evasivo, pois é executado a partir de um processo comum de nível de usuário, não requer privilégios de root e é eficaz mesmo dentro de uma máquina virtual”, Mordechai Guri, chefe de P&D do Centro de Pesquisa em Segurança Cibernética da Universidade Ben Gurion, escreveu em um trabalho de pesquisa recém-publicado.
Além disso: Segurança cibernética: essas são as novidades com as quais se preocupar em 2023
Apelidado de COVID-bit, o ataque de canal secreto depende primeiro de um invasor ser capaz de obter acesso físico ao sistema de destino para plantar malware nele usando uma unidade USB. Pode ser um agente secreto que obteve acesso à instalação segura em que a máquina isolada está, ou um interno mal-intencionado pode ser persuadido, chantageado ou induzido a instalar o malware.
É amplamente divulgado que o Stuxnet, um worm de malware usado para interromper fortemente o enriquecimento de urânio iraniano e as instalações nucleares em 2010, foi plantado usando unidades flash USB. Portanto, embora o acesso físico seja difícil de obter, não é impossível.
O código malicioso explora o consumo dinâmico de energia dos computadores e manipula as cargas momentâneas nos núcleos da CPU. Essa abordagem permite que o malware controle a utilização interna do computador e gere radiação eletromagnética de baixa frequência na banda de 0 a 60 kHz.
Segundo os pesquisadores, é possível explorar essa técnica para transferir informações confidenciais da máquina comprometida, incluindo arquivos, chaves de criptografia, informações biométricas e dados de keylogging, que podem incluir nomes de usuário e senhas, além de chaves privadas para carteiras bitcoin.
Para fazer isso, tudo o que um invasor precisa é de um smartphone ou laptop com uma pequena antena, que pode ser comprada por apenas US$ 1, e estar a cerca de dois metros da máquina comprometida. O invasor não precisa necessariamente estar na mesma sala que o sistema visado, pois a radiação eletromagnética gerada pode penetrar em uma parede.
Também: As apostas ‘não poderiam ser mais altas’: chefe da CISA fala sobre os desafios tecnológicos à frente
Os dados transmitidos por essa frequência não são transferidos tão rapidamente quanto os métodos padrão: os pesquisadores observam que a transferência de uma grande quantidade de informações, como dados de keylogging da última hora, pode levar até 10 minutos. Mas, desde que o invasor não seja fisicamente expulso do perímetro, os dados serão transmitidos secretamente.
A melhor proteção contra um ataque de bit COVID seria garantir que apenas pessoal autorizado seja permitido em qualquer lugar próximo aos sistemas, embora isso não resolva o problema de um insider comprometido com a autorização adequada.
O trabalho de pesquisa sugere que medidas adicionais para se proteger contra esse tipo de ataque em sistemas sem ar incluem a restrição das frequências que podem ser usadas por certas CPUs, bem como o uso de software antivírus que pode detectar padrões incomuns de CPU.
“Sistemas de segurança, como aplicativos de proteção e detecção de malware, podem monitorar como os threads em execução utilizam os núcleos da CPU para detectar padrões suspeitos. No caso do COVID-bit, os threads que alteram persistentemente a utilização da CPU seriam relatados para investigação forense adicional”, disse Guri .
O COVID-bit não é a primeira vez que Guri encontra maneiras de contornar sistemas com gap de ar, conforme demonstrado por pesquisas anteriores que mostram outras técnicas, incluindo Powerhammer, Power-SuppLaY e Air-Fi, entre outras.
MAIS SOBRE SEGURANÇA CIBERNÉTICA
.
