Denominada "LANtenna Attack", utiliza los cables Ethernet como si fueran antenas
Un mecanismo de exfiltración de datos recientemente descubierto emplea cables Ethernet como una "antena de transmisión" para desviar sigilosamente datos altamente sensibles de sistemas aislados físicamente (air-gapped systems en inglés), según las últimas investigaciones.
"Es interesante que los cables que vinieron para proteger sistemas aislados físicamente se conviertan en la vulnerabilidad en este ataque", dijo el Dr. Mordechai Guri, jefe de I+D en el Centro de Investigación de Seguridad Cibernética de la Universidad Ben Gurion del Negev en Israel.
Denominada "LANtenna Attack", la novedosa técnica permite que el código malicioso en computadoras aisladas físicamente acumule datos confidenciales y luego los codifique a través de ondas de radio que emanan de cables Ethernet como si fueran antenas. Las señales transmitidas pueden luego ser interceptadas por un cercano receptor de radio definido por software (SDR) de forma inalámbrica, los datos decodificados y enviados a un atacante que se encuentra en una habitación adyacente.
"En particular, el código malicioso puede ejecutarse en un proceso de modo de usuario ordinario y operar con éxito desde dentro de una máquina virtual", señalaron los investigadores en un documento adjunto titulado "LANTENNA: Exfiltrating Data from Air-Gapped Networks via Ethernet Cables" [PDF].
Las redes aisladas físicamente están diseñadas como una medida de seguridad de la red para minimizar el riesgo de fuga de información y otras amenazas cibernéticas al garantizar que una o más computadoras estén físicamente aisladas de otras redes, como Internet o una red de área local. Por lo general, están cableadas porque las máquinas que forman parte de dichas redes tienen sus interfaces de red inalámbrica desactivadas permanentemente o eliminadas físicamente.
Esta está lejos de ser la primera vez que el Dr. Guri ha demostrado formas poco convencionales de filtrar datos confidenciales de computadoras aisladas físicamente. En febrero de 2020, el investigador de seguridad ideó un método que emplea pequeños cambios en el brillo de la pantalla LCD, que permanecen invisibles a simple vista, para modular la información binaria en patrones similares al código morse de forma encubierta.
Luego, en mayo de 2020, el Dr. Guri mostró cómo el malware podía explotar la unidad de fuente de alimentación (PSU) de una computadora para reproducir sonidos y usarla como un altavoz secundario fuera de banda para filtrar datos en un ataque llamado "POWER-SUPPLaY".
Por último, en diciembre de 2020, el investigador mostró "AIR-FI", un ataque que aprovecha las señales Wi-Fi como un canal encubierto para exfiltrar información confidencial sin siquiera requerir la presencia de hardware Wi-Fi dedicado en los sistemas objetivo.
El ataque LANtenna no es diferente ya que funciona utilizando el malware en la estación de trabajo aislada físicamente para inducir al cable Ethernet a generar emisiones electromagnéticas en las bandas de frecuencia de 125 MHz que luego son moduladas e interceptadas por un receptor de radio cercano. En una demostración de prueba de concepto, los datos transmitidos desde una computadora aislada físicamente a través de su cable Ethernet se recibieron a una distancia de 200 cm.
Al igual que otros ataques de fuga de datos de este tipo, desencadenar la infección requiere la implementación del malware en la red de destino a través de cualquiera de los diferentes vectores de infección que van desde ataques a la cadena de suministro o unidades USB contaminadas hasta técnicas de ingeniería social, credenciales robadas o mediante el uso de iniciados maliciosos.
Como contramedidas, los investigadores proponen prohibir el uso de receptores de radio en y alrededor de redes aisladas físicamente y monitorear la actividad de la capa de enlace de la tarjeta de interfaz de red para cualquier canal encubierto, así como bloquear las señales y usar blindaje metálico para limitar que los campos electromagnéticos interfieran o emanen de los cables blindados.
"Este documento muestra que los atacantes pueden explotar los cables Ethernet para filtrar datos de redes aisladas físicamente", dijeron los investigadores en el documento. "El malware instalado en una estación de trabajo segura, computadora portátil o dispositivo integrado puede invocar varias actividades de red que generan emisiones electromagnéticas de los cables Ethernet".
"Antenas dedicadas y costosas ofrecen una mejor distancia y podrían alcanzar decenas de metros con algunos cables", agregó el Dr. Guri.