Μια νέα side-channel επίθεση, γνωστή ως PIXHELL, στοχεύει Air-Gapped υπολογιστές, παραβιάζοντας το “audio gap (κενό ήχου) και εκμεταλλεύεται ευαίσθητες πληροφορίες μέσω του θορύβου που παράγεται από τα pixel της οθόνης.
“Το κακόβουλο λογισμικό σε air-gap και audio-gap υπολογιστές δημιουργεί συγκεκριμένα μοτίβα pixel που παράγουν θόρυβο στην περιοχή συχνοτήτων 0 – 22 kHz”, δήλωσε ο Δρ. Mordechai Guri, επικεφαλής του Offensive Cyber Research Lab στο Τμήμα Λογισμικού και Πληροφοριών.
“Ο κακόβουλος κώδικας εκμεταλλεύεται τον ήχο που παράγεται από coils και πυκνωτές για να ελέγξει τις συχνότητες που προέρχονται από την οθόνη. Αυτά τα ακουστικά σήματα μπορούν να κωδικοποιούν και να μεταδίδουν ευαίσθητες πληροφορίες.”
Αυτή η επίθεση είναι αξιοσημείωτη, καθώς δεν απαιτεί εξειδικευμένο ηχητικό υλικό, μεγάφωνο ή εσωτερικό ηχείο στον υπολογιστή-στόχο. Αντίθετα, εκμεταλλεύεται την οθόνη LCD για τη δημιουργία ακουστικών σημάτων.
Δείτε επίσης: Slim CD: Παραβίαση δεδομένων επηρεάζει 1,7 εκατ. άτομα
Το Air-Gapping είναι ένα βασικό μέτρο ασφαλείας που στοχεύει στην προστασία κρίσιμων περιβαλλόντων που σχετίζονται με αποστολές από ενδεχόμενες απειλές, απομονώνοντάς τα φυσικά και λογικά από εξωτερικά δίκτυα, όπως το διαδίκτυο. Αυτό συνήθως επιτυγχάνεται μέσω της αποσύνδεσης καλωδίων δικτύου, της απενεργοποίησης ασύρματων διεπαφών και της απενεργοποίησης συνδέσεων USB.
Ωστόσο, αυτά τα μέτρα ασφαλείας μπορεί να παρακαμφθούν μέσω επικίνδυνων επιθέσεων ή με την παραβίαση της αλυσίδας εφοδιασμού (supply chain), είτε hardware είτε software. Ένα ακόμη πιθανό σενάριο περιλαμβάνει έναν ανυποψίαστο υπάλληλο που συνδέει μια μολυσμένη μονάδα USB, ενεργοποιώντας κακόβουλο λογισμικό (malware), το οποίο μπορεί να δημιουργήσει ένα μυστικό κανάλι διαρροής δεδομένων.
«Τεχνικές όπως το phishing ή οι μέθοδοι κοινωνικής μηχανικής (social engineering), μπορούν να χρησιμοποιηθούν για να εξαπατήσουν άτομα με πρόσβαση σε συστήματα με Air-Gap, οδηγώντας τα σε ενέργειες που θέτουν σε κίνδυνο την ασφάλεια, όπως το κλικ σε κακόβουλους συνδέσμους ή η λήψη μολυσμένων αρχείων», δήλωσε ο Δρ. Mordechai Guri.
«Οι χάκερς μπορούν επίσης να χρησιμοποιήσουν επιθέσεις στην αλυσίδα εφοδιασμού λογισμικού, στοχεύοντας σε εξαρτήσεις εφαρμογών ή third-party βιβλιοθήκες. Διακυβεύοντας αυτές τις εξαρτήσεις, μπορούν να εισάγουν τρωτά σημεία ή κακόβουλο κώδικα που ενδέχεται να περάσουν απαρατήρητα κατά την ανάπτυξή τους».
Όπως συνέβη και στην πρόσφατη επίθεση RAMBO, το PIXHELL εκμεταλλεύεται το κακόβουλο λογισμικό που έχει αναπτυχθεί στον παραβιασμένο κεντρικό υπολογιστή για να δημιουργήσει ένα ακουστικό κανάλι που επιτρέπει τη διαρροή πληροφοριών από συστήματα που λειτουργούν με Air-Gap.
Διαβάστε σχετικά: Η νέα επίθεση RAMBO κλέβει δεδομένα χρησιμοποιώντας τη μνήμη RAM
Αυτό συμβαίνει λόγω της παρουσίας επαγωγέων και πυκνωτών στις εσωτερικές δομές και τροφοδοσίες των οθονών LCD. Αυτά τα στοιχεία δονούνται σε ακουστικές συχνότητες, δημιουργώντας έναν θόρυβο υψηλής συχνότητας όταν η ηλεκτρική ροή διέρχεται από τα coils, σε ένα φαινόμενο που ονομάζεται “coil whine”.
Συγκεκριμένα, οι μεταβολές στην κατανάλωση ισχύος μπορεί να προκαλέσουν μηχανικούς κραδασμούς ή πιεζοηλεκτρισμό στους πυκνωτές, οδηγώντας στη δημιουργία ηχητικού θορύβου. Ένας κρίσιμος παράγοντας που επηρεάζει το μοτίβο κατανάλωσης είναι ο αριθμός των ενεργών εικονοστοιχείων και η κατανομή τους στην οθόνη, καθώς τα λευκά εικονοστοιχεία απαιτούν περισσότερη ενέργεια για να εμφανιστούν σε σύγκριση με τα σκοτεινά pixel.
«Επιπλέον, όταν το εναλλασσόμενο ρεύμα (AC) διαρρέει τους πυκνωτές της οθόνης, αυτοί δονούνται σε συγκεκριμένες συχνότητες», δήλωσε ο Δρ. Guri. «Οι ακουστικές εκπομπές προκύπτουν από τα εσωτερικά ηλεκτρικά στοιχεία της οθόνης LCD, και τα χαρακτηριστικά τους επηρεάζονται από το πραγματικό bitmap, το μοτίβο και την ένταση των εικονοστοιχείων που εμφανίζονται στην οθόνη.»
Μέσω προσεκτικής παρακολούθησης των μοτίβων pixel που εμφανίζονται στην οθόνη, η τεχνική μας δημιουργεί συγκεκριμένα ηχητικά κύματα σε καθορισμένες συχνότητες από οθόνες LCD. Έτσι, ένας χάκερ μπορεί να εκμεταλλευτεί αυτή τη μέθοδο για να εξάγει δεδομένα με τη μορφή ηχητικών σημάτων, τα οποία στη συνέχεια διαμορφώνονται και μεταδίδονται σε μια κοντινή συσκευή με Windows ή Android. Αυτή η συσκευή μπορεί να αποδιαμορφώσει τα πακέτα και να ανακτήσει τις πληροφορίες.
Είναι σημαντικό να επισημανθεί ότι η ισχύς και η ποιότητα του ακουστικού σήματος που εκπέμπεται εξαρτώνται από πολλούς παράγοντες, συμπεριλαμβανομένης της συγκεκριμένης δομής της οθόνης, της εσωτερικής τροφοδοσίας της, καθώς και των θέσεων του coil και του πυκνωτή.
Δείτε ακόμη: Το κατάστημα εμπορευμάτων της Cisco έγινε στόχος κυβερνοεπίθεσης
Ένας άλλος κρίσιμος παράγοντας είναι ότι η επίθεση PIXHELL είναι ορατή στους χρήστες που παρακολουθούν την LCD οθόνη, καθώς περιλαμβάνει την εμφάνιση ενός bitmap μοτίβου με εναλλασσόμενες ασπρόμαυρες σειρές. «Για να διατηρήσουν την ανωνυμία τους, οι χάκερς μπορούν να εφαρμόσουν μια στρατηγική που περιλαμβάνει την εκπομπή δεδομένων ενώ ο χρήστης απουσιάζει», εξήγησε ο Δρ Guri. «Για παράδειγμα, η επίθεση ‘overnight attack’ στα κρυφά κανάλια εκτελείται κατά τις ώρες που η συσκευή είναι εκτός λειτουργίας, μειώνοντας έτσι τον κίνδυνο αποκάλυψης και έκθεσης».
Η επίθεση θα μπορούσε να εκδηλωθεί κρυφά κατά τη διάρκεια του εργασιακού ωραρίου, μειώνοντας τα χρώματα των pixel σε πολύ χαμηλά επίπεδα πριν από τη μετάδοση, χρησιμοποιώντας συγκεκριμένα RGB επίπεδα (1,1,1), (3,3,3), (7,7,7) και (15,15,15). Έτσι, ο χρήστης έχει την εντύπωση ότι η οθόνη είναι μαύρη. Ωστόσο, αυτή η προσέγγιση έχει την τάση να μειώνει «σημαντικά» τα επίπεδα παραγωγής ήχου. Οπότε, δεν είναι αλάνθαστη και ένας χρήστης μπορεί να παρατηρήσει ανώμαλα μοτίβα αν εξετάσει προσεκτικά την οθόνη.
Δεν είναι η πρώτη φορά που οι περιορισμοί του “audio-gap” παρακάμπτονται σε πειραματικές ρυθμίσεις. Προηγούμενες έρευνες του Δρ. Guri έχουν αξιοποιήσει ήχους από διάφορες πηγές, όπως από ανεμιστήρες υπολογιστών (Fansmitter), σκληρούς δίσκους (Diskfiltration), μονάδες CD/DVD (CD-LEAK), τροφοδοσίες (POWER-SUPPLAY) και εκτυπωτές inkjet (Inkfiltration).
Διαβάστε περισσότερα: Οι παραβιάσεις λογαριασμών ξεπερνούν το Ransomware ως κορυφαία κυβερνοαπειλή
Για την προστασία σας, προτείνεται η χρήση audio jammer για την εξουδετέρωση της μετάδοσης, η παρακολούθηση του φάσματος ήχου για την ανίχνευση ασυνήθιστων σημάτων, η περιορισμένη φυσική πρόσβαση σε εξουσιοδοτημένο προσωπικό, η απαγόρευση χρήσης smartphones και η εφαρμογή εξωτερικής κάμερας για τον εντοπισμό ασυνήθιστων μοτίβων στην οθόνη.
Πηγή: thehackernews