Air-fi Rete locale Giacomo Lanzi

Air-Fi: attaccare computer scollegati e senza hardware di rete è possibile

Estimated reading time: 5 minuti

Per mantenere le informazioni segrete fuori dalla portata degli aggressori, le organizzazioni le collocano su dispositivi che non sono collegati ad alcuna rete. Questo per evitare qualsiasi possibilità di comunicazione con Internet. Queste macchine sono definite air-gapped. Per quanto sicuro possa sembrare, infettare una tale macchina o un segmento di rete non è in realtà così difficile. Estrarre le informazioni ottenute è molto più difficile, ma si è scoperto comunque possibile con la tecnica Air-Fi.

Per studiare un exploit di questo scenario, entrano in gioco tutti i tipi di metodi intelligenti e Mordechai Guri, un ricercatore dell’Università Ben-Gurion del Negev (Israele), è specializzato nel trovarli. Il dottor Guri non è l’unico, naturalmente, ma negli ultimi anni, è stato coinvolto nella scoperta di alcune decine di questi metodi. Un nuovo studio descrive il modo per estrarre dati da un computer isolato, questa volta utilizzando la tecnologia Wi-Fi (da cui il nome Air-Fi).

Air-fi Rete locale

Come funziona il metodo Air-Fi

La bellezza dell’Air-Fi è che funziona anche se il computer di destinazione non ha hardware Wi-Fi. Si basa su un malware già installato sul dispositivo che può utilizzare il bus di memoria DDR SDRAM per generare radiazioni elettromagnetiche a una frequenza di 2,4 GHz. Il malware può codificare i dati necessari in variazioni di questa radiazione e qualsiasi dispositivo con un ricevitore Wi-Fi, compreso un altro dispositivo compromesso, può raccogliere e intercettare i segnali generati. Questo altro dispositivo potrebbe essere un normale smartphone o anche una lampadina intelligente.

Il metodo Air-Fi è particolarmente sgradevole dal punto di vista della sicurezza informatica. Non richiede diritti di amministratore sul computer isolato; un normale account utente può fare il lavoro. Inoltre, l’utilizzo di una macchina virtuale non fornisce alcuna protezione; le VM hanno accesso ai moduli di memoria.

Range e velocità di trasmissione

I ricercatori hanno trasmesso dati senza distorsioni degne di nota a una distanza fino a 2-3 metri (in un caso, fino a 8 metri) e una velocità fino a 100 bit al secondo, a seconda dell’hardware del computer infetto e del tipo di ricevitore. Come la maggior parte dei metodi simili, non è molto veloce. Il trasferimento di un file di 20MB, richiederebbe 466 ore, per esempio. Detto questo, il testo di “Jingle Bells”, a 1.300 byte, potrebbe essere trasferito in 90 secondi. In questa luce, rubare un nome utente e una password con questa tecnica sembra del tutto realistico.

Air-Fi RAM

Come potrebbe funzionare un attacco

Infettare un sistema con air-gapped con il malware non è difficile. Un malintenzionato può facilmente farlo contaminando un’unità USB, tramite ingegneria sociale o ingannando il personale. Una volta fatto, l’aggressore dovrebbe poi infettare un dispositivo vicino con capacità WiFi per ricevere i dati trapelati. Per questo, l’aggressore può infettare i desktop vicini, i computer portatili o anche gli smartphone del personale che opera il sistema target con air-gapped.

Per scongiurare questo tipo di attacchi fisici all’azienda, potresti voler considerare il nostro servizio di test fisico della sicurezza della tua azienda!

Dopo un’infezione riuscita, il malware ruba i dati dal sistema air-gapped, facendoli trapelare nell’aria come Wi-Fi per il dispositivo ricevente. Come hanno spiegato i ricercatori:

Come parte della fase di esfiltrazione, l’attaccante potrebbe raccogliere dati dai computer compromessi. I dati possono essere documenti, registrazioni di chiavi, credenziali, chiavi di crittografia, ecc. Una volta raccolti i dati, il malware avvia il canale segreto Air-Fi. Codifica i dati e li trasmette nell’aria (nella banda Wi-Fi a 2,4 GHz) utilizzando le emissioni elettromagnetiche generate dai bus DDR SDRAM.

Il seguente video mostra un possibile scenario di attacco.

La straordinaria assenza di hardware wi-fi

Come abbiamo visto l’attacco Air-Fi non richiede che sulle macchine bersaglio ci sia installato hardware specifico Wi-Fi. Ma come è possibile?

Viene dimostrato che l’attacco usa i bus di memoria DDR SDRAM per generare emissioni elettromagnetiche nella banda di frequenza tipica del protocollo Wi-Fi, ossia 2,4 GHz. Inoltre, è possibile anche codificare i dati in codice binario senza privilegi specifici. Usare una macchina virtuale non aiuta, perché tipicamente hanno comunque accesso all’hardware di memoria RAM.

La comunicazione tra CPU e moduli RAM avviene tramite un bus sincronizzato con il clock di sistema. Questo genera una radiazione elettromagnetica che avrà una frequenza correlata alla frequenza di clock. Nel caso dei blocchi di memoria DDR4 si aggira proprio intorno ai 2,4 GHz.

Se la frequenza dei moduli non fosse del valore corretto, è comunque possibile effettuare un overclock o downclock della velocità di memoria adeguandola alla frequenza Wi-Fi di 2,4 GHz.

Insomma, una macchina che utilizza blocchi RAM potrebbe comunque trovare il modo di utilizzarli per la trasmissione di dati. Certo, tutto parte da una prima compromissione che ha installato un malware sulla macchina.

Come difendersi dall’Air-Fi

L’uso di Air-Fi comporta emissioni elettromagnetiche. È possibile contrastare la strategia utilizzando le seguenti misure:

  • Non permettere a dispositivi abilitati al Wi-Fi di avvicinarsi ai sistemi air-gapped per nessun motivo
  • Monitorare i sistemi isolati per processi sospetti
  • Schermare il computer in una gabbia di Faraday
  • Utilizzare un SOCaaS per monitorare le macchine in rete
  • Controllare operazioni e visite in azienda in modo da eliminare la possibilità di infezione tramite USB stick

Come tutti i metodi simili, Air-Fi è troppo lento e difficile per essere usato dai comuni criminali informatici per gli attacchi quotidiani. Tuttavia, se la tua azienda sta utilizzando macchine air-gapped per lo stoccaggio di dati, sicuramente è meglio correre ai ripari, vista anche la recente fame di dati della cyber criminalità.

Consigliamo di valutare l’adozione di un SOCaaS per prevenire l’uso di malware, eseguire regolari procedure per la verifica della sicurezza aziendale, sia virtuale (Vulnerability Assessment & Penetration Test) sia fisica, come suggerito in precedenza, tramite il nostro apposito servizio di test.

Contattaci per sapere come possiamo aiutarti e come i nostri servizi possono mettere al sicuro i dati della tua azienda, saremo lieti di rispondere a qualunque domanda.

Useful links:

Condividi


RSS

Piu’ articoli…

Categorie …

Tags

RSS CSIRT

RSS darkreading

RSS Full Disclosure

  • Application is Vulnerable to Session Fixation Marzo 27, 2024
    Posted by YOGESH BHANDAGE on Mar 27*Vulnerability Name - *Application is Vulnerable to Session Fixation *Vulnerable URL: *www.fusionpbx.com *Overview of the Vulnerability* Session fixation is a security vulnerability that occurs when an attacker sets or fixes a user's session identifier, manipulating the authentication process. Typically exploited in web applications, this vulnerability allows the attacker to […]
  • APPLE-SA-03-25-2024-1 Safari 17.4.1 Marzo 27, 2024
    Posted by Apple Product Security via Fulldisclosure on Mar 27APPLE-SA-03-25-2024-1 Safari 17.4.1 Safari 17.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT214094. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. WebRTC Available for: macOS Monterey and macOS Ventura Impact: Processing an […]
  • APPLE-SA-03-25-2024-2 macOS Sonoma 14.4.1 Marzo 27, 2024
    Posted by Apple Product Security via Fulldisclosure on Mar 27APPLE-SA-03-25-2024-2 macOS Sonoma 14.4.1 macOS Sonoma 14.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT214096. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. CoreMedia Available for: macOS Sonoma Impact: Processing an image […]
  • APPLE-SA-03-25-2024-3 macOS Ventura 13.6.6 Marzo 27, 2024
    Posted by Apple Product Security via Fulldisclosure on Mar 27APPLE-SA-03-25-2024-3 macOS Ventura 13.6.6 macOS Ventura 13.6.6 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT214095. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. CoreMedia Available for: macOS Ventura Impact: Processing an image […]
  • APPLE-SA-03-25-2024-4 iOS 17.4.1 and iPadOS 17.4.1 Marzo 27, 2024
    Posted by Apple Product Security via Fulldisclosure on Mar 27APPLE-SA-03-25-2024-4 iOS 17.4.1 and iPadOS 17.4.1 iOS 17.4.1 and iPadOS 17.4.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT214097. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. CoreMedia Available for: iPhone XS […]
  • APPLE-SA-03-25-2024-5 iOS 16.7.7 and iPadOS 16.7.7 Marzo 27, 2024
    Posted by Apple Product Security via Fulldisclosure on Mar 27APPLE-SA-03-25-2024-5 iOS 16.7.7 and iPadOS 16.7.7 iOS 16.7.7 and iPadOS 16.7.7 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT214098. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. CoreMedia Available for: iPhone 8, […]
  • APPLE-SA-03-25-2024-6 visionOS 1.1.1 Marzo 27, 2024
    Posted by Apple Product Security via Fulldisclosure on Mar 27APPLE-SA-03-25-2024-6 visionOS 1.1.1 visionOS 1.1.1 addresses the following issues. Information about the security content is also available at https://support.apple.com/kb/HT214093. Apple maintains a Security Updates page at https://support.apple.com/HT201222 which lists recent software updates with security advisories. CoreMedia Available for: Apple Vision Pro Impact: Processing an image may […]
  • Escape sequence injection in util-linux wall (CVE-2024-28085) Marzo 27, 2024
    Posted by Skyler Ferrante (RIT Student) via Fulldisclosure on Mar 27Wall-Escape (CVE-2024-28085) Skyler Ferrante: Escape sequence injection in util-linux wall ================================================================= Summary ================================================================= The util-linux wall command does not filter escape sequences from command line arguments. The vulnerable code was introduced in commit cdd3cc7fa4 (2013). Every version since has been vulnerable. This allows...
  • Win32.STOP.Ransomware (smokeloader) / Remote Code Execution (MITM) Marzo 27, 2024
    Posted by malvuln on Mar 27Discovery / credits: Malvuln (John Page aka hyp3rlinx) (c) 2024 Original source: https://malvuln.com/advisory/3b9e9e130d52fe95c8be82aa4b8feb74.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Win32.STOP.Ransomware (smokeloader) Vulnerability: Remote Code Execution (MITM) Family: Stop Type: PE32 MD5 3b9e9e130d52fe95c8be82aa4b8feb74 Vuln ID: MVID-2024-0676 Disclosure: 03/22/2024 Description: There are two roads to...
  • Circontrol EV Charger vulnerabilities (CVE-2020-8006, CVE-2020-8007) Marzo 27, 2024
    Posted by Dariusz G on Mar 27Circontrol EV Charger vulnerabilities. 1. CVE-2020-8006 Pre-Auth Stack Based Buffer Overflow CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (10) The server in Circontrol Raption through 5.11.2 has a pre-authentication stack-based buffer overflow that can be exploited to gain run-time control of the device as root. When the server parses the HTTP headers and finds the […]

Customers

Newsletter

{subscription_form_2}