Nuevo malware permite obtener datos de redes aisladas con la ayuda de un escaner

Investigadores de la universidad de Ben Gurion (Israel), de nombres Ben Nassi y Yuval Elovici, han demostrado en una prueba de concepto el trabajo ya anticipado por el critptógrafo Adi Shamir: han conseguido extraer datos desde un PC en una red aislada, empleando para ello un escaneo externo y sin tener que introducirse de forma alguna en el recinto o equipos cercanos.

Por cierto, efectivamente, estoy hablando de un escaner de los de escanear imágenes, no de algo realmente futurista. El objetivo es establecer un canal encubierto de comunicación entre el interior y los atacantes, siendo comprometido dicho escaner y usando este para ejecutar instrucciones y comunicar resultados.

¿Un escaner repartiendo malware?

Nuestro método utiliza luces transmitidas por un atacante hacia un escaner, que después será extraído dentro de la red objetivo. Explota un escaner dentro de una empresa que después sirve como pasarela hacia dentro, para establecer un canal de comunicación encubierto entre malware y atacante. El atacante, controlando una fuente de luz, puede estar realmente lejos del escaner objetivo.

Es decir, que como explican en su estudio, el emisor utiliza un haz de luz de una fuente cercana al escaner para que este reciba los comandos. Como el apartado detectará las luces reflejadas sobre su panel de cristal, pasará después a traducir esta señal a binario, generando por último una imagen a partir de los datos.

Flujo de información

Un escaner es sensible a los cambios de luz a su alrededor, incluso si hay un papel presente. También reconocen señales de luz infrarroja.

Los expertos consiguieron transmitir la señal al escaner apuntando directamente la fuente de luz a su panel. Los comandos son enviados en código binario, generado a partir de encender y apagar las luces (0/1). Los comandos son separados por secuencias específicamente creadas en binario: 1001.

Además, cuentan que es posible enviar mensajes al malware mediante el secuestro de una fuente de luz cercana, como podría ser una bombilla inteligente o smart bulb.

Resultados de las pruebas y viabilidad

En los test llevados a cabo se a conseguido eliminar un archvo en el sistema objetivo, usando la sentencia: ersa file xxx.doc. Solo ha hecho falta un láser posicionado en una repisa exterior, en un edificio situado a ¡900 metros de distancia!

Si quisiéramos llevar a cabo este tipo de ataques, resulta obvio el primer requisito, básicamente contar con un backdoor o malware en la máquina objetivo, además de recibir la luz por parte de un escaner conectado al equipo, y que debería estar parcialmente abierto. Ya no parece tan fácil, pero desde luego no es descartable.

En otra de las pruebas reales lanzadas se ha utilizado un dron equipado con una mira láser, volando de forma estable el exterior de la ventana y planta correspondientes.

En un ataque real de este tipo, se usaría por ejemplo un código malicioso para escanear la red en busca de escáneres. Para evitar sospechas, el escaneo podría llevarse a cabo de noche o durante los fines de semana.

Detalles técnicos

En cuanto a la capacidad de transmisión esperada, que es lo que al final determina que este malware sirva más o menos los intereses de un atacante, se estima que cada bit transmitido precisa de 50 milisegundos. Esto se traduce en que un mensaje de 64 bit precisa 3 segundos para ser enviado.

Para recibir la confirmación de recepción, se emite desde el escaner un escaneo simple tras el final de la sentencia.

En otro de los test realizados por el equipo, se lanzó un ataque de ransomware, enviando el comando para realizar el cifrado desde un aparcamiento. El atacante estaba controlando una bombilla inteligente, mediante Bluetooth, usando un Samsung Galaxy S4.

Estos ataques son invisibles al ojo humano, ya que el escaner utilizado detecta cambios en el brillo desde una bombilla, así como cambios de luz en porciones de un 5% y en secuencias que duran menos de 25 milisegundos.

Impidiendo un ataque de este tipo

La mejor medida de protección parece ser la configuración de un proxy cercano al escaner, estando este conectado por cable al equipo que procesa los datos escaneados en la empresa. Así, el escaner no está expuesto directamente a la red.

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s