Ngay cả các máy tính không kết nối mạng trong lồng Faraday cũng có thể bị đánh cắp dữ liệu

[WhiteHat News #ID:2017]

Một nhóm nghiên cứu vừa công bố nghiên cứu cho thấy họ có thể ăn cắp dữ liệu không chỉ từ một máy tính không kết mạng mà ngay cả khi máy tính được đặt trong lồng Faraday.

Máy tính không kết nối mạng là những máy tính bị cô lập khỏi Internet và các mạng cục bộ và do đó, được coi là những thiết bị an toàn nhất và rất khó thâm nhập.

Trong khi đó, lồng Faraday là một lớp bảo vệ bằng kim loại có thể chặn tất cả các tín hiệu điện từ, như Wi-Fi, Bluetooth, di động và các phương tiện liên lạc không dây khác, giúp cho bất kỳ thiết bị nào trong lồng, càng thêm cách ly với các mạng bên ngoài.

Tuy nhiên, Trung tâm nghiên cứu Cybersecurity tại Đại học Ben Gurion, với người đứng đầu là Mordechai Guri, đã phát triển hai kỹ thuật giúp họ lọc dữ liệu từ các máy tính được đặt trong lồng Faraday.

Hai kỹ thuật trên có tên MAGNETO và ODINI đều lợi dụng loại malware mẫu proof-of-concept (PoC) được cài đặt trên máy tính không kết nối mạng đặt bên trong lồng Faraday để kiểm soát "từ trường phát ra từ máy tính bằng cách điều chỉnh workload trên các lõi CPU" và thông qua đó để âm thầm truyền dữ liệu.

Chuyên gia Guri cho biết,"Ai cũng nói về việc phá vỡ mạng lưới air gap (giải pháp lưu giữ thông tin trên những máy tính không bao giờ kết nối Internet) để đột nhập, nhưng không ai nghĩ đến chuyện đưa thông tin ra ngoài. Điều đó đã mở ra cánh cửa cho nghiên cứu này, phá vỡ mô hình rằng mạng lưới được bảo vệ bằng air gap là hoàn toàn kín kẽ".

Cũng theo chuyên gia này, một khi máy tính (cho dù máy tính đó không kết nối mạng hoặc đặt bên trong lồng Faraday) đã bị nhiễm malware, tin tặc có thể lọc dữ liệu bị đánh cắp mà không cần phải đợi kết nối thông thường khác tới máy bị lây nhiễm.

Cách thức tấn công của MAGNETO & ODINI:

Khi tin tặc bằng cách nào đó đã thành công trong việc cài malware trên máy tính bị cách ly, malware này sau đó sẽ thu thập các mẩu thông tin nhỏ, như dữ liệu keylogging, khoá mã hóa, các token thông tin xác thực và mật khẩu.

Malware mẫu proof-of-concept (PoC) được phát triển bởi nhóm chuyên gia sau đó sẽ tạo ra một mô hình tần số từ trường bằng cách điều chỉnh workload của CPU. Cụ thể, làm quá tải CPU thông qua các tính toán làm tăng điện năng tiêu thụ và tạo từ trường mạnh hơn.

Những phát xạ điện từ (âm thanh, quang học và nhiệt) từ máy tính bị nhiễm malware đủ mạnh để mang một lượng nhỏ dữ liệu bị đánh cắp đến một thiết bị đặt gần đó, ở đây là một máy thu do hacker đưa vào.

Quá trình này liên quan đến việc dịch dữ liệu đầu tiên sang dạng nhị phân, bao gồm 0 và 1, và truyền nó thành các mã giống mã morse theo phát xạ điện từ.

Chương trình truyền dữ liệu chỉ để lại dấu vết nhỏ trong bộ nhớ, nhờ đó nó có thể ẩn mình trước các AV. Ở cấp hệ điều hành, chương trình truyền này không đòi hỏi các đặc quyền đặc biệt hoặc nâng cao (ví dụ root hoặc admin), và do đó có thể được khởi phát từ một tiến trình ở userspace thông thường".

"Mã truyền chủ yếu bao gồm các hoạt động cơ bản của CPU như các busy loop, không để lộ các hành vi độc hại, giúp nó có thể lẩn tránh tốt các công cụ phân tích tự động".

Tuy các kỹ thuật tấn công MAGNETO và ODINI được thiết kế để lọc dữ liệu từ máy tính cách ly mạng thông qua sử dụng phát xạ điện từ, điểm khác biệt duy nhất giữa hai là:

• MAGNETO là một cuộc tấn công ở khoảng cách ngắn mà một ứng dụng Android được cài đặt trên smartphone của kẻ tấn công có thể nhận dữ liệu bị đánh cắp với sự trợ giúp của từ kế điện thoại - một bộ cảm biến từ tính có thể truyền dữ liệu ngay cả khi smartphone được đặt trong túi Faraday hoặc cài đặt ở chế độ máy bay.
• ODINI cho phép kẻ tấn công thu được tín hiệu điện từ một dải dài hơn một chút bằng một cảm biến từ chuyên dụng.

Với MAGNETO, nhóm nghiên cứu chỉ đạt được tốc độ 5 bit /giây với khoảng cách 12,5 cm trong khi đó ODINI hiệu quả hơn với tốc độ truyền tối đa là 40 bit/giây với khoảng cách là 100 đến 150 cm.

Cả ODINI và MAGNETO đều hoạt động nếu thiết bị cách ly bị nhắm tới được đặt một lồng Faraday dù nó được thiết kế để chặn các trường điện từ, bao gồm Bluetooth, Wi-Fi, di động và các kết nối không dây khác.

Các nhà nghiên cứu đưa ra ba cách tiếp cận khác nhau có thể được sử dụng để ngăn chặn kẻ tấn công thiết lập một kênh từ tính bí mật, hay nói cách khác là che chắn, gây nhiễu và phân vùng.

Video minh họa tấn công MAGNETO và ODINI

Nhóm nghiên cứu đã công bố video PoC để minh họa cho cả hai kỹ thuật tấn công MAGNETO và ODINI, cho thấy cả hai vụ tấn công đều có thể hoạt động.

Đây không phải là lần đầu tiên các nhà nghiên cứu Ben-Gurion đưa ra một kỹ thuật bí mật để nhắm vào các máy tính được cách ly. Sau đây là các nghiên cứu trước đây của nhóm này:

• Tấn công aIR-Jumper đánh cắp thông tin nhạy cảm từ các máy tính cách ly mạng với sự trợ giúp của máy ảnh CCTV trang bị hồng ngoại dùng trong bóng tối.
• Tấn công USBee có thể được sử dụng dữ liệu bị lấy cắp từ máy tính cách ly mạng thông qua truyền dẫn tần số radio từ cổng USB.
• Tấn công DiskFiltration có thể ăn cắp dữ liệu bằng cách sử dụng các tín hiệu âm thanh phát ra từ ổ đĩa cứng của máy tính được cách ly mạng;
• BitWhisper dựa vào sự trao đổi nhiệt giữa hai hệ thống máy tính để lén lút chuyển mật khẩu hoặc các chìa khóa an ninh;
• AirHopper biến card video của máy tính thành một máy phát FM để ghi lại việc gõ phím;
• Kỹ thuật Fansmitter sử dụng tiếng ồn phát ra bởi một quạt máy tính để truyền dữ liệu; và
• Tấn công GSMem dựa vào tần số di động.

Theo Hackernews​

 

https://giphy.com/embed/HeXlO6H6Eh3sQ

 

Lồng Faraday