Des universitaires volent des données sur des systèmes isolés en utilisant les vibrations des ventilateurs de PC

Des universitaires d'une université israélienne ont prouvé la faisabilité d'utiliser des ventilateurs installés à l'intérieur d'un ordinateur pour créer des vibrations contrôlées pouvant être utilisées pour voler des données dans des systèmes à air isolé.

La technique, nommée AiR-ViBeR, est la dernière d’une longue liste de techniques farfelues d’exfiltration de données conçues par Mordechai Guri, responsable de la R&D à l’Université Ben Gourion du Néguev en Israël.

Au cours des cinq dernières années, Guri a étudié des méthodes permettant d'envoyer des données depuis des ordinateurs isolés vers le monde extérieur sans être détecté.

La recherche sur ce sujet est importante car les systèmes à air isolé - des ordinateurs isolés sur des réseaux locaux sans accès à Internet -- sont souvent utilisés sur les réseaux gouvernementaux ou d'entreprise pour stocker des données sensibles, telles que des fichiers classifiés ou de la propriété intellectuelle.

Les recherches de Guri ne portent pas sur les moyens de compromettre et d'implanter des logiciels malveillants sur ces systèmes ultra-sécurisés, mais se concentrent plutôt sur des moyens innovants et inédits pour extraire les données, sans être détectés, et par des méthodes que les défenseurs des réseaux ne disposent pas conscient de.

Lors de recherches antérieures, Guri et son équipe du Centre de recherche sur la cybersécurité de l'université Ben Gourion ont montré que les attaquants pouvaient voler des données sur des systèmes sécurisés en utilisant une multitude de techniques telles que :

• LED-it-Go - exfiltrer les données des systèmes à air isolé via la LED d'activité d'un disque dur
• USBée - forcer le bus de données d'un connecteur USB à émettre des émissions électromagnétiques pouvant être utilisées pour exfiltrer des données
• Trémie à air - utiliser la carte GPU locale pour émettre des signaux électromagnétiques vers un téléphone mobile à proximité, également utilisé pour voler des données
• Émetteur de fans - voler des données sur des PC isolés en utilisant les sons émis par le ventilateur GPU d'un ordinateur
• Filtration de disque - utiliser des opérations de lecture/écriture contrôlées sur le disque dur pour voler des données via des ondes sonores
• BitWhisper - exfiltrer les données des ordinateurs hors réseau en utilisant des émanations de chaleur
• Attaque sans nom - utilise des scanners à plat pour relayer les commandes vers des PC infestés de logiciels malveillants ou pour exfiltrer les données des systèmes compromis
• xLED - utiliser les LED du routeur ou du commutateur pour exfiltrer les données
• aIR-Cavalier - utiliser les capacités infrarouges d'une caméra de sécurité pour voler des données sur des réseaux isolés
• HVACKeur - utiliser des systèmes CVC pour contrôler les logiciels malveillants sur les systèmes isolés
• MAGNÉTO & ODINI - voler des données sur des systèmes protégés par cage de Faraday
• MOUSTIQUE - voler des données sur des PC en utilisant des haut-parleurs et des écouteurs connectés
• Marteau puissant - voler des données à partir de systèmes isolés utilisant des lignes électriques
• CTRL-ALT-LED - voler des données à partir de systèmes isolés à l'aide des LED du clavier
• LUMINOSITÉ - voler des données à partir de systèmes isolés en utilisant les variations de luminosité de l'écran
  

Dans une nouvelle recherche publiée cette semaine, Guri a développé ses travaux antérieurs en examinant un milieu que son équipe n'avait jamais analysé auparavant, à savoir les vibrations.

Plus précisément, Guri a examiné les vibrations pouvant être générées par les ventilateurs d'un ordinateur, tels que les ventilateurs du processeur, les ventilateurs du GPU, les ventilateurs de la centrale électrique ou tout autre ventilateur installé sur le châssis de l'ordinateur.

Guri affirme qu'un code malveillant implanté sur un système isolé peut contrôler la vitesse à laquelle les ventilateurs fonctionnent. En modérant la vitesse du ventilateur, l'attaquant peut contrôler la fréquence des vibrations provenant du ventilateur.

La technique AiR-ViBeR récupère les informations sensibles stockées sur un système à air isolé, puis modifie les vitesse du ventilateur pour générer un modèle de vibration qui se propage dans l'environnement proche, comme un bureau.

Guri affirme qu'un attaquant à proximité peut enregistrer ces vibrations à l'aide de capteurs accéléromètres présents dans les smartphones modernes, et puis décodez les informations cachées dans le modèle de vibration pour reconstruire les informations volées dans l'air-gapé système.

La collecte de ces vibrations peut se faire de deux manières. Si l'attaquant dispose d'un accès physique au réseau isolé, il peut placer ses propres smartphones sur un bureau à proximité d'un système à entrefer et collecter les vibrations rayonnées sans toucher l'entrefer ordinateur.

Si l’attaquant n’a pas accès à un réseau à air isolé, il peut alors infecter les smartphones des employés travaillant pour l’entreprise ciblée exploitant un système à air isolé. Les logiciels malveillants présents sur l'appareil de l'employé peuvent capter ces vibrations pour le compte de l'attaquant. Guri affirme que cela est possible car les capteurs accéléromètres des smartphones modernes sont accessibles par n'importe quelle application sans nécessiter l'autorisation de l'utilisateur, ce qui rend cette technique très évasive.

Voler des données via les vibrations prend un certain temps

Cependant, bien que la technique AiR-ViBeR soit un travail assez innovant, la transmission des données par vibrations est extrêmement lente.

En fait, les données peuvent être exfiltrées par vibrations à une faible vitesse d'un demi-bit par seconde, ce qui rend AiR-ViBeR est l'une des méthodes d'exfiltration les plus lentes que Guri et son équipe ont mises au point ces derniers temps. années.

Bien que l'attaque AiR-ViBeR puisse être considérée comme « réalisable », il est hautement irréaliste que des attaquants puissent un jour utiliser dans la nature, car ils opteraient très probablement pour d'autres techniques permettant d'exfiltrer les informations plus rapidement. vitesses.

Des détails techniques supplémentaires sur la technique AiR-ViBeR peuvent être trouvés dans un livre blanc publié cette semaine et intitulé "AiR-ViBeR: exfiltration de données à partir d'ordinateurs isolés via des vibrations de surface secrètes."

Les utilisateurs réguliers n'ont rien à craindre en ce qui concerne AiR-ViBeR, car des menaces bien plus dangereuses se cachent sur Internet. Cependant, les administrateurs de réseaux ultra-sécurisés devront probablement prendre en compte les derniers travaux de Guri. envisager et déployer certaines des contre-mesures énumérées dans le document, s'ils jugent cette technique crédible menace.