Interesujący i dość niecodzienny sposób eksfiltracji danych z systemów fizycznie odseparowanych od sieci zewnętrznych (tzw. air-gapped systems), zaprezentował niedawno naukowiec z Uniwersytetu Ben-Gurion w Izraelu, dr Mordechai Guri. Metoda nazwana została ETHERLED i polega na zmianie firmware zwykłej ethernetowej karty sieciowej w taki sposób, aby wbudowane w nią sygnalizacyjne diody LED, mogły emitować sygnały (dane) w alfabecie Morse’a. Potencjalny atakujący nie musi wtedy mieć fizycznego dostępu do maszyny ofiary bo wystarczy mu jedynie widoczność optyczna karty sieciowej komputera, będącego przedmiotem ataku.
Podmiana sterownika karty sieciowej za pomocą specjalnie przygotowanego malware’u, umożliwia sterowanie kolorem i częstotliwością migania diod LED, dzięki czemu możliwa jest „wysyłka” za pomocą zwykłych fal świetlnych zakodowanych informacji. Jako odbiornik wysłanych w ten sposób danych, posłużyć może np. kamera smartfona, dron wyposażony w kamerę lub kamera monitoringu będąca pod kontrolą atakującego. Podczas testów przeprowadzonych przez dr Guri, udało się eksfiltrować m.in. 100-bitowe hasło, 256-bitowy klucz prywatny Bitcoin, 64-bitowy kod PIN czy 4096-bitowy klucz RSA.
ETHERLED może być zastosowany nie tylko w komputerowych kartach sieciowych, ale również w innych urządzeniach elektronicznych zawierających przewodowe interfejsy sieciowe jak np. routery, drukarki sieciowe, NAS-y, telewizory czy urządzenia IoT.Oczywiście aby opisywany atak mógł być skutecznie przeprowadzony, musi być spełniony szereg warunków i wydaje się, że rozważać należy go raczej w sferze teoretycznej, m.in. z uwagi na fakt, że air-gapped systems, to zazwyczaj systemy szczególnie chronione.
Źródło:
Bleeping Computer
Proof of Concept (PoC) opisanej metody
