Az “IR-Jumper” elnevezésű, rosszindulatú szoftver felhasználható a feltörhetetlennek tartott air-gapped https://en.wikipedia.org/wiki/Air_gap_(networking) (izolált) hálózati védelem leküzdésére, adatok kinyerésére és vezérlésére. A technika az éjjellátó biztonsági kamerákat és az infravörös LED-eket adó-vevő párosként működtetve, kódolt adat streameket továbbíthat és fogadhat a hálózaton kívülről.
A támadást Mordechai Guri, Dima Bykhovsky és Yuval Elovici kutatta az izraeli Ben-Gurion Egyetemen, akik már a korábbiakban is publikáltak ebben a témakörben.
A hackelés lehetőségére figyelmeztetnek minden a IR-Jumper malware-vel előzőleg megfertőzött izolált hálózat esetében, amelyek össze vannak kapcsolva a külső hackerek számára látható megfigyelő kamerákkal. Ilyen körülmények között a rosszindulatú programok a kamera infravörös LED-jeinek fényét moduláló alkalmazási program interfészeit (API) támadják, hogy adatokat küldjenek, vagy külső infravörös fényjeleket parancsokként értelmezzenek.
A legegyszerűbb módon az infravörös LED-ek állapota, a kamera webes felületéről állítható. A felhasználó beállíthatja az éjszakai üzemet kézi vagy automatikus üzemmódra, az infravörös LED-ek be, vagy kikapcsolására, és szabályozhatja az IR megvilágítás szintjét”- írták a kutatók.
Adatszerzés (exfiltration)
Az egyik forgatókönyv szerint az aIR-Jumper malware előre programozható úgy, hogy érzékeny adatokat találjon az izolált hálózaton belül. Ezeket az adatokat azután a biztonsági kamera éjszakai látásra használt, az emberi szem számára láthatatlan infravörös fényén keresztül továbbíthatja a hacker kamerája felé.
Ezzel a módszerrel a kutatók szerint az érzékeny adatok, például a PIN-kódok, jelszavak, titkosítási kulcsok és keylogging adatok kódolhatók és továbbíthatók az infravörös jelek segítségével az izolált hálózaton kívülre.
A támadás demonstrációjában (lásd: lent a videó) a támadó a biztonsági videokamera villogó IR LED-jeinek látóterében helyezkedett el. Az IR fény villogása a „nulla” és „egy” világítási szintekkel kódolt adatokat jelenti. Ezeket a támadó rögzíti, majd a későbbi visszajátszás során a villogást értelmezhető fájlokká dekódolja .”A rejtett csatorna értékeléséből kiderül, hogy az adatok kb. 20 bites / másodperc / kamera sebességnél , néhányszor tíz méter távolságról , észrevétlenül kilophatók egy szervezetből ” nyilatkozták a kutatók.
Adat injektálás (infiltration)
A fordított kommunikáció esetében a támadó egy távoli, a biztonsági kamerák által látható villogó IR LED fényt használ, amellyel az adatokat titkosan beinjektálják a célzott rendszerbe, mintegy 100 bites / másodperc / megfigyelő kamera sebességgel, akár egy mérföld távolságról is. ” Ezeket a jeleket a megfigyelő kamera fogadja és a hálózaton belüli rosszindulatú programok feldolgozzák” – írták a kutatók.
Egy másik infiltrációs forgatókönyv szerint, a külső támadótól a szervezet belső hálózatába injektált információk az aIR-Jumper malwerekre vonatkozó C&C üzeneteket tartalmazhatnak .
A jelentés mögött álló kutatók éveken keresztül az izolált hálózatok hackelésére fókuszáltak, amelyben az optikai (xLED), az elektromágneses (AirHopper), a termikus (BitWhisper) és az akusztikus (Fansmitter) technikákat alkalmazták .
Védekezési lehetőségek
“A technológiai ellenintézkedések magukban foglalhatják a kamerák infravörös LED-jeit vezérlő rosszindulatú programok kimutatását, amelyek vezérlik, vagy figyelik a kamerák bemenetét” – írták a kutatók. “Hasonlóképpen, az észlelést hálózati szinten lehet elvégezni, figyelve a hálózati forgalmat a hálózatban lévő gazdagépektől a megfigyelő kamerákig” zárul a jelentés.
Videók :
Forrás: https://threatpost.com/malware-steals-data-from-izolált-network-via-security-cameras/128038/
Fordította: Ecsedi Ákos
Kapcsolódó cikkek:
Az IP kommunikáció meghekkelhető! Az IP biztonságtechnika IT biztonsági kihívásai
Rés a pajzson? Nemcsak a kínai de a német kamerák sem cyber biztonságosak?
