Extraen datos de ordenadores a través de señales Wi-Fi con AIR-FI
En una investigación de seguridad, se ha descubierto que se pueden extraer datos confidenciales de ordenadores vía Wi-Fi. El ataque ha sido denominado como AIR-FI. Gracias a esta nueva técnica, se aprovechan las señales Wi-Fi como un canal encubierto, y sorprendentemente no necesita la presencia de hardware Wi-Fi en los sistemas objetivo. Hoy en RedesZone os vamos a explicar en detalle cómo funciona este ataque tan interesante que podría poner en jaque muchos datos confidenciales de equipos.
Cómo funciona el ataque AIR-FI
El ataque AIR-FI se basa en la implementación de un malware especialmente diseñado que explota buses DDR SDRAM para generar emisiones electromagnéticas en las bandas Wi-Fi de 2.4 GHz. Luego, transmite información sobre estas frecuencias que más tarde pueden ser interceptadas y decodificados por dispositivos cercanos con capacidad Wi-Fi. Algunos ejemplos de equipos que podríamos utilizar para enviar los datos a servidores remotos controlados por un atacante son:
- Smartphones.
- Ordenadores portátiles,
- Dispositivos de IoT.
Los resultados de la investigación fueron publicados en un artículo del Dr. Mordechai Guri que es jefe de I+D del Centro de Investigación de Seguridad Cibernética de la Universidad Ben-Gurion del Negev de Israel. Este ataque AIR-FI se caracteriza porque no requiere hardware relacionado con Wi-Fi en los ordenadores. El atacante va a explotar los buses DDR SDRAM para generar emisiones electromagnéticas en las bandas de Wi-Fi de 2,4 GHz y codificar datos binarios encima. Los equipos con «espacio de aire» podemos definirlas como máquinas sin interfaces de red. En entornos de máxima seguridad, se pueden considerar una prioridad para mantener los datos confidenciales a salvo y reducir así el riesgo de fuga de datos.
Aquí tenéis un vídeo en el que se muestra el funcionamiento de AIR-FI:
No siempre es posible utilizar AIR-FI
Si queremos realizar un ataque de este tipo, a menudo es primordial que las máquinas transmisoras y receptoras estén ubicadas físicamente próximas entre sí. Además, también se requiere que estén infectadas con el malware apropiado para establecer el enlace de comunicación. AIR-FI no depende de un transmisor Wi-Fi y tampoco necesita controladores de kernel, root o acceso a recursos de hardware para transmitir los datos.
El canal encubierto se puede utilizar incluso desde dentro de una máquina virtual aislada, y tiene una lista interminable de dispositivos habilitados para Wi-Fi que pueden ser pirateados para actuar como receptor. En un equipo que se implemente el malware a través de ingeniería social basta para poder realizar este ataque, algunos ejemplos que se podrían utilizar son:
- Gusanos auto propagados como Agent.BTZ.
- Una unidad flash USB manipulada.
- Personas internas maliciosas.
Además, debemos infectar dispositivos con capacidad Wi-Fi ubicados en la red con espacio de aire, comprometiendo el firmware de los chips Wi-Fi, instalando el malware capaz de detectar y decodificar la transmisión, para, finalmente, exfiltrar los datos a través de Internet.
La explotación de los buses DDR SDRAM
El malware en el sistema de destino recopila los datos relevantes como documentos confidenciales, credenciales o claves de cifrado. A continuación, se codifican y transmiten en la banda Wi-Fi de 2.4 GHz. Así, usando las emisiones electromagnéticas generadas por los buses DDR SDRAM se solían intercambiar datos entre la CPU y la memoria.
Su funcionamiento se basa en la generación de señales de Wi-Fi, en la que el ataque hace uso del bus de datos para emitir radiación electromagnética a una frecuencia correlacionada con el módulo de memoria DDR y las operaciones de lectura o escritura. Esta investigación es un recordatorio más de que los componentes electromagnéticos, acústicos, térmicos y ópticos pueden ser utilizados para realizar ataques refinados de exfiltración contra equipos con espacios de aire.
El Dr. Guri para solucionar el problema, propone protecciones de zona para protegerse contra ataques electromagnéticos. Así, debemos permitir que los sistemas de detección de intrusos monitoricen e inspeccionen los procesos que realizan operaciones intensivas de transferencia de memoria y utilizar escudos de Faraday para bloquear el canal encubierto. El malware AIR-FI, nos ha demostrado cómo con este ataque se pueden robar datos de ordenadores con espacio de aire a un receptor Wi-Fi cercano a través de señales Wi-Fi.
El artículo Extraen datos de ordenadores a través de señales Wi-Fi con AIR-FI se publicó en RedesZone.
Powered by WPeMatico