Un mecanismo de exfiltración de datos recién descubierto emplea los cables de Ethernet como «antena transmisora» para desviar sigilosamente datos altamente sensibles de los sistemas con air-gap, según las últimas investigaciones.
«Es interesante que los cables que venían a proteger el air-gap se conviertan en la vulnerabilidad del air-gap en este ataque», dijo a The Hacker News el Dr. Mordechai Guri, jefe de I+D del Centro de Investigación de Seguridad Cibernética de la Universidad Ben Gurion del Negev, en Israel.
Bautizada como «Ataque LANtenna», la novedosa técnica permite que un código malicioso en ordenadores con trampa de aire acumule datos sensibles y luego los codifique a través de las ondas de radio que emanan de los cables Ethernet como si fueran antenas. A continuación, las señales transmitidas pueden ser interceptadas por un receptor de radio definido por software (SDR) cercano de forma inalámbrica, los datos son descodificados y enviados a un atacante que se encuentre en una habitación adyacente.
«En particular, el código malicioso puede ejecutarse en un proceso ordinario en modo usuario y operar con éxito desde una máquina virtual», señalan los investigadores en un documento adjunto titulado «LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables».
Las redes con tapón de aire están diseñadas como medida de seguridad de la red para minimizar el riesgo de fuga de información y otras ciberamenazas, asegurando que uno o más ordenadores estén físicamente aislados de otras redes, como Internet o una red de área local. Suelen estar conectadas por cable, ya que las máquinas que forman parte de este tipo de redes tienen sus interfaces de red inalámbricas permanentemente desactivadas o eliminadas físicamente.
Esta no es ni mucho menos la primera vez que el Dr. Guri demuestra formas poco convencionales de filtrar datos confidenciales desde ordenadores conectados por aire. En febrero de 2020, el investigador de seguridad ideó un método que emplea pequeños cambios en el brillo de la pantalla LCD, que permanecen invisibles a simple vista, para modular información binaria en patrones similares al código morse de forma encubierta.
Luego, en mayo de 2020, el Dr. Guri mostró cómo el malware podía explotar la unidad de alimentación (PSU) de un ordenador para reproducir sonidos y utilizarla como un altavoz secundario fuera de banda para filtrar datos en un ataque llamado «POWER-SUPPLaY».
Por último, en diciembre de 2020, el investigador mostró «AIR-FI», un ataque que aprovecha las señales Wi-Fi como canal encubierto para exfiltrar información confidencial sin ni siquiera requerir la presencia de hardware Wi-Fi dedicado en los sistemas objetivo.
El ataque LANtenna no es diferente, ya que funciona utilizando el malware en la estación de trabajo con trampa de aire para inducir al cable Ethernet a generar emisiones electromagnéticas en las bandas de frecuencia de 125 MHz que luego son moduladas e interceptadas por un receptor de radio cercano. En una prueba de concepto, los datos transmitidos desde un ordenador con trampa aérea a través de su cable Ethernet se recibieron a una distancia de 200 cm.
Al igual que otros ataques de fuga de datos de este tipo, para desencadenar la infección es necesario desplegar el malware en la red objetivo a través de cualquiera de los diferentes vectores de infección, que van desde los ataques a la cadena de suministro o las unidades USB contaminadas hasta las técnicas de ingeniería social, el robo de credenciales o el uso de personal interno malintencionado.
Como contramedidas, los investigadores proponen prohibir el uso de receptores de radio dentro y alrededor de las redes protegidas por el aire y vigilar la actividad de la capa de enlace de la tarjeta de interfaz de red para detectar cualquier canal encubierto, así como interferir las señales y utilizar un blindaje metálico para limitar los campos electromagnéticos que interfieren o emanan de los cables blindados.
«Este trabajo demuestra que los atacantes pueden explotar los cables Ethernet para exfiltrar datos de las redes blindadas», señalan los investigadores en el documento. «El malware instalado en una estación de trabajo segura, un portátil o un dispositivo integrado puede invocar varias actividades de red que generan emisiones electromagnéticas de los cables Ethernet».
«Las antenas dedicadas y costosas ofrecen una mejor distancia y podrían alcanzar decenas de metros con algunos cables», añadió el Dr. Guri.