Air-Fi: attaccare computer scollegati e senza hardware di rete è possibile

Estimated reading time: 5 minuti

Per mantenere le informazioni segrete fuori dalla portata degli aggressori, le organizzazioni le collocano su dispositivi che non sono collegati ad alcuna rete. Questo per evitare qualsiasi possibilità di comunicazione con Internet. Queste macchine sono definite air-gapped. Per quanto sicuro possa sembrare, infettare una tale macchina o un segmento di rete non è in realtà così difficile. Estrarre le informazioni ottenute è molto più difficile, ma si è scoperto comunque possibile con la tecnica Air-Fi.

Per studiare un exploit di questo scenario, entrano in gioco tutti i tipi di metodi intelligenti e Mordechai Guri, un ricercatore dell’Università Ben-Gurion del Negev (Israele), è specializzato nel trovarli. Il dottor Guri non è l’unico, naturalmente, ma negli ultimi anni, è stato coinvolto nella scoperta di alcune decine di questi metodi. Un nuovo studio descrive il modo per estrarre dati da un computer isolato, questa volta utilizzando la tecnologia Wi-Fi (da cui il nome Air-Fi).

Come funziona il metodo Air-Fi

La bellezza dell’Air-Fi è che funziona anche se il computer di destinazione non ha hardware Wi-Fi. Si basa su un malware già installato sul dispositivo che può utilizzare il bus di memoria DDR SDRAM per generare radiazioni elettromagnetiche a una frequenza di 2,4 GHz. Il malware può codificare i dati necessari in variazioni di questa radiazione e qualsiasi dispositivo con un ricevitore Wi-Fi, compreso un altro dispositivo compromesso, può raccogliere e intercettare i segnali generati. Questo altro dispositivo potrebbe essere un normale smartphone o anche una lampadina intelligente.

Il metodo Air-Fi è particolarmente sgradevole dal punto di vista della sicurezza informatica. Non richiede diritti di amministratore sul computer isolato; un normale account utente può fare il lavoro. Inoltre, l’utilizzo di una macchina virtuale non fornisce alcuna protezione; le VM hanno accesso ai moduli di memoria.

Range e velocità di trasmissione

I ricercatori hanno trasmesso dati senza distorsioni degne di nota a una distanza fino a 2-3 metri (in un caso, fino a 8 metri) e una velocità fino a 100 bit al secondo, a seconda dell’hardware del computer infetto e del tipo di ricevitore. Come la maggior parte dei metodi simili, non è molto veloce. Il trasferimento di un file di 20MB, richiederebbe 466 ore, per esempio. Detto questo, il testo di “Jingle Bells”, a 1.300 byte, potrebbe essere trasferito in 90 secondi. In questa luce, rubare un nome utente e una password con questa tecnica sembra del tutto realistico.

Come potrebbe funzionare un attacco

Infettare un sistema con air-gapped con il malware non è difficile. Un malintenzionato può facilmente farlo contaminando un’unità USB, tramite ingegneria sociale o ingannando il personale. Una volta fatto, l’aggressore dovrebbe poi infettare un dispositivo vicino con capacità WiFi per ricevere i dati trapelati. Per questo, l’aggressore può infettare i desktop vicini, i computer portatili o anche gli smartphone del personale che opera il sistema target con air-gapped.

Per scongiurare questo tipo di attacchi fisici all’azienda, potresti voler considerare il nostro servizio di test fisico della sicurezza della tua azienda!

Dopo un’infezione riuscita, il malware ruba i dati dal sistema air-gapped, facendoli trapelare nell’aria come Wi-Fi per il dispositivo ricevente. Come hanno spiegato i ricercatori:

Come parte della fase di esfiltrazione, l’attaccante potrebbe raccogliere dati dai computer compromessi. I dati possono essere documenti, registrazioni di chiavi, credenziali, chiavi di crittografia, ecc. Una volta raccolti i dati, il malware avvia il canale segreto Air-Fi. Codifica i dati e li trasmette nell’aria (nella banda Wi-Fi a 2,4 GHz) utilizzando le emissioni elettromagnetiche generate dai bus DDR SDRAM.

Il seguente video mostra un possibile scenario di attacco.

La straordinaria assenza di hardware wi-fi

Come abbiamo visto l’attacco Air-Fi non richiede che sulle macchine bersaglio ci sia installato hardware specifico Wi-Fi. Ma come è possibile?

Viene dimostrato che l’attacco usa i bus di memoria DDR SDRAM per generare emissioni elettromagnetiche nella banda di frequenza tipica del protocollo Wi-Fi, ossia 2,4 GHz. Inoltre, è possibile anche codificare i dati in codice binario senza privilegi specifici. Usare una macchina virtuale non aiuta, perché tipicamente hanno comunque accesso all’hardware di memoria RAM.

La comunicazione tra CPU e moduli RAM avviene tramite un bus sincronizzato con il clock di sistema. Questo genera una radiazione elettromagnetica che avrà una frequenza correlata alla frequenza di clock. Nel caso dei blocchi di memoria DDR4 si aggira proprio intorno ai 2,4 GHz.

Se la frequenza dei moduli non fosse del valore corretto, è comunque possibile effettuare un overclock o downclock della velocità di memoria adeguandola alla frequenza Wi-Fi di 2,4 GHz.

Insomma, una macchina che utilizza blocchi RAM potrebbe comunque trovare il modo di utilizzarli per la trasmissione di dati. Certo, tutto parte da una prima compromissione che ha installato un malware sulla macchina.

Come difendersi dall’Air-Fi

L’uso di Air-Fi comporta emissioni elettromagnetiche. È possibile contrastare la strategia utilizzando le seguenti misure:

• Non permettere a dispositivi abilitati al Wi-Fi di avvicinarsi ai sistemi air-gapped per nessun motivo
• Monitorare i sistemi isolati per processi sospetti
• Schermare il computer in una gabbia di Faraday
• Utilizzare un SOCaaS per monitorare le macchine in rete
• Controllare operazioni e visite in azienda in modo da eliminare la possibilità di infezione tramite USB stick

Come tutti i metodi simili, Air-Fi è troppo lento e difficile per essere usato dai comuni criminali informatici per gli attacchi quotidiani. Tuttavia, se la tua azienda sta utilizzando macchine air-gapped per lo stoccaggio di dati, sicuramente è meglio correre ai ripari, vista anche la recente fame di dati della cyber criminalità.

Consigliamo di valutare l’adozione di un SOCaaS per prevenire l’uso di malware, eseguire regolari procedure per la verifica della sicurezza aziendale, sia virtuale (Vulnerability Assessment & Penetration Test) sia fisica, come suggerito in precedenza, tramite il nostro apposito servizio di test.

Contattaci per sapere come possiamo aiutarti e come i nostri servizi possono mettere al sicuro i dati della tua azienda, saremo lieti di rispondere a qualunque domanda.

Useful links: