La implementación de sistemas aislados tiene como objetivo evitar la filtración de información confidencial y de carácter sensible en ámbitos como, por ejemplo, el militar. Sin embargo, ETHERLED, un nuevo ataque contra sistemas aislados, permite el envío de información sensible mediante señales en código morse a través de los LED de las tarjetas de red (NIC).
El investigador que ha dado a conocer esta nueva técnica es Mordechai Guri, director del departamento R&D en el Centro de Investigación de Ciberseguridad de la universidad de Negev, en Israel.
ETHERLED, al igual que otro tipo de ataques dirigidos contra sistemas aislados, cuenta con el requisito de que antes de poder filtrar la información hacia el exterior, se debe instalar malware en el sistema. Además, por la naturaleza de esta técnica basada en el uso de los LED para la transmisión de información, los usuarios que estén lo suficientemente alerta podrían detectar el ataque.
No obstante, además de estos dos «inconvenientes», la investigación ha demostrado que ETHERLED puede resultar bastante efectivo una vez superada la barrera principal, es decir, la infección del sistema mediante malware.
Este ataque puede afectar a muchos dispositivos actualmente, los cuales vienen con tarjetas de red ya integradas de fábrica. Algunos de estos dispositivos son:
Ordenadores personales, portátiles, y servidoresSistemas NASDispositivos IoTImpresoras y escáneresTelevisores y pantallas LCDControladores y sistemas embebidosCámaras de vigilancia
El flujo del ataque ETHERLED es el siguiente:
Modelo de ataque. El APT recopila información sensible y la cifra a través de controladores LED de las NIC. La información puede ser grabada por diferentes tipos de cámaras y enviada a los atacantes (o atacante) a través de internet.
El modelo de ataque de ETHERLED se compone de transmisores y de receptores de la información. Como se observa en la imagen anterior, en la fase inicial el atacante debe hacer llegar el malware y ejecutarlo en el sistema aislado para controlar los LED. Tras ello, se puede hacer uso de sistemas de videovigilancia, circuitos cerrados de TV, o cámaras IP que tengan en su campo de visión al sistema que va a transmitir la información, entre otros dispositivos disponibles para el ataque. El último paso consiste en la recepción y decodificación de la señal por parte del atacante para obtener la información.
Todo este proceso hace uso de técnicas de envío de señales en código morse a través de los LED de las tarjetas de red (NIC).
La siguiente tabla muestra una lista de los posibles receptores de la señal LED y de los vectores ataques correspondientes:
Cabe mencionar que las cámaras que hacen de receptoras de la señal LED deben estar en un rango de entre 10 y 50 metros de distancia (aunque dicho rango se puede aumentar incluso hasta varios cientos de metros si se utilizan telescopios o lentes de enfoque especializadas).
En lo que se refiere a las formas en la que el malware puede controlar el sistema aislado, existen tres métodos:
Control del driver/firmware: el código que controla los LED se ejecuta como un driver del kernel o dentro del firmware de la tarjeta de red. Este método es el que otorga un mayor nivel de control sobre los LED.Control del enlace de estado: solo se puede controlar el estado de los LED. El código malicioso puede cambiar de manera intencionada la velocidad del enlace, lo que puede provocar que el adaptador de red cambie el estado del LED.Control de los LED por parte del usuario: el usuario cambia de manera directa el estado del LED habilitando o deshabilitando la interfaz Ethernet.
Existen una serie de medidas que pueden ayudar a mitigar el ataque, aunque se debe tener en cuenta que en muchos casos pueden afectar a la lógica de funcionamiento del sistema; por ejemplo, una de las medidas listadas a continuación, la restricción del uso de cámaras, impediría la vigilancia del entorno en el que se encuentra el sistema aislado. Algunas de estas medidas son:
Restricción de cámaras en zonas sensiblesCubrir los LED de estado con cintas negras para bloquear la emisión de la señalReprogamar el software Introducir «ruido» que interfiera con la señal (jamming)Detectar patrones de señal, cifrado y modulación
Más información
Air-Gapped Devices Can Send Covert Morse Signals via Network Card LEDs
ETHERLED: Sending Covert Morse Signals from Air-Gapped Devices via Network Card (NIC) LEDs
La entrada ETHERLED: nuevo ataque contra sistemas aislados se publicó primero en Una al Día.
