Malware reacende debate sobre ataques contra ambientes air-gapped

A descoberta do Malware Stuxnet atiçou em muitos pesquisadores a curiosidade sobre quais seriam as possibilidades de executar ataques em equipamentos ou redes completamente isoladas do mundo exterior, chamadas de air-gapped e que usualmente abrigam sistemas críticos, como os de uma usina nuclear, por exemplo.

Nos últimos anos foi confirmada a possibilidade combinar o uso de malwares à transmissão de dados por frequências ultrassônicas, por calor, pela conversão de sinais da placa de vídeo em frequência de rádio FM, em manipular frequências da conversa entre CPU e RAM de modo a transmitir informação via GSM e, mais recentemente, no inusitado ataque que consiste em fazer lâmpadas inteligentes piscarem em frequência imperceptível ao olho humano, mas possível de ser capturada por um telescópio e convertida em dados por um Arduino, ambos a centenas de metros de distância da fonte de luz.

A maioria destes ataques são conceituais e para se concretizarem como uma ameaça, além do interesse hostil, eles dependem do acesso físico ao computador alvo, via USB por exemplo, para assim instalar o malware que fará a comunicação com o ambiente externo. O ataque se tornaria mais eficaz se este malware tivesse mecanismos de instalação automática, ocultação de seus binários e proteção contra violação, a qual remova todas as informações caso algo dê errado.

Um malware com essas características foi identificado pelo pesquisador Tomáš Gardoň no final do último mês de março, levantando suspeitas sobre a possível execução de novas modalidades de ataque contra ambientes do tipo air-gapped.

O malware, chamado de Win32/PSW.Stealer.NAI usa dispositivos USB como vetor de ataque e possui características de autoproteção baseadas na criptografia do volume via AES128. Esse mecanismo também cria uma imagem única por dispositivo impedindo clonagens e destrói todos os dados caso a mídia USB seja removida da máquina.

Para chegar ao sistema operacional do alvo, o PSW.Stealer.NAI é combinado ao Win32/TrojanDropper.Agent.RFT. Trojan com um sofisticado método de infecção em três estágios que encripta os dados, checa a existência de antivírus e deposita o payload.

É um consenso para os pesquisadores envolvidos no estudo que esse malware possui os requisitos necessários para atacar equipamentos envolvidos na operação de processos com alto nível de criticidade e que demandam isolamento do computador. Esse perfil de sistema, chamado de Air-Gapped tem tido sua segurança fortemente desafiada nos últimos anos.

O primeiro choque ocorreu no final de 2013, quando o pesquisador Dragos Ruiu descobriu a atividade do malware BadBIOS que infectava a BIOS dos computadores e estabelecia conectividade entre os infectados por meio de ultrassom - frequências abaixo da audição humana - usando speakers e microfones.

O ataque gerou grande controvérsia na mídia especializada com muitos pesquisadores questionando se Ruiu dizia a verdade. Embora Ruiu não tenha compartilhado evidências que tornassem possível a catalogação do malware pela indústria, dois pesquisadores alemães publicaram um paper no Journal of Communications em que adaptaram mecanismos e protocolos de comunicação de dados debaixo d’água para serem usados na superfície, comprovando que, pelo menos o método de comunicação era possível de ser implementado.

O caso do BadBIOS lembra o Stuxnet e atiça o interesse acadêmico em encontrar formas de obter informações de computadores isolados. A partir de 2014, o Cyber Security Research Center da Universidade Ben-Gurion do Negev se torna protagonista no assunto. Neste ano eles desenvolvem o AirHopper , ataque em que um malware era usado para enviar dados por meio de frequências emitidas pela placa de vídeo e captada pelo radio FM de um celular que poderia servir de ponte para um servidor de comando e controle na Internet.

No ano seguinte o mesmo instituto divulga dois ataques: o primeiro com computadores isolados um do outro, mas que compartilhavam informações por meio de sensores de calor, chamado de BitWhisper e o outro, mais sofisticado e batizado de GSMem cujo objetivo é o de estabelecer conexão entre um celular e um computador que emitia sinais de radiação eletromagnética na comunicação entre CPU e RAM, cujas frequências podem ser manipuladas de maneira a comunicar via GSM e serem interpretadas por um telefone celular.

O ataque depende de um rootkit que ocupa somente 4kb de memória, tornando sua presença muito difícil de ser detectada e de um telefone celular com o firmware modificado, o telefone usado nos testes possuía dez anos de fabricação.

Os testes comprovaram que era possível enviar dados por sete metros usando o AirHopper, quatro centímetros com o BitWhisper e mais de trinta metros com o GSMem.

Mais recentemente, outro paper assinado por Eyal Ronen e pelo renomado criptógrafo Adi Shamir (o “S” do “RSA”) aborda outra perspectiva dos ataques a ambientes isolados: agora usando dispositivos classificados como Internet das Coisas.

Nesse experimento Ronen e Shamir conseguiram extrair mais de 10KB por dia de uma distância de até 100 metros usando um telescópio, um conversor de luz em frequência conectado a um Arduino e um malware que fazia lâmpadas inteligentes (Philips HUE e LimitlessLED) piscarem em frequências imperceptíveis ao olho humano, mas que poderiam enviar dados de um ambiente para outro, sendo que a distância para o sucesso do ataque seria determinada pela capacidade do telescópio em interpretar as piscadelas da lâmpada. Quando mais potente o telescópio, maior a distância para a execução do ataque.

Todos os ataques descritos aqui se baseiam na coleta de pequenos volumes de informação, dependem do acesso físico ao ambiente alvo e a maioria deles são considerados como prova de conceito. Ou seja, a comprovação empírica de que são possíveis de serem executados.

Embora estejamos testemunhando vazamentos de grandes volumes de dados, como no caso envolvendo a empresa Mossack Fonseca, muitas informações críticas para a maioria das organizações são pequenas, como chaves de criptografia, hashes e senhas. Os acadêmicos que desenvolvem ataques a equipamentos definidos como air-gapped visam chamar a atenção para as organizações que dedicam muito do seu esforço em criar estruturas isoladas, mas que permitem, porém, a entrada de dispositivos móveis ou que não monitoram o uso e mídia removível no perímetro destes computadores.

É possível considerar que malwares como o PSW.Stealer.NAI-Win32/TrojanDropper.Agent.RFT representam conceitualmente um receptáculo adequado e possivelmente uma tendência para a execução de ataques com finalidade hostil (não mais em prova de conceito) em qualquer um dos cenários que descrevemos nesse artigo e suas características de proteção contra adulteração, unicidade e ocultação fornecem blindagem adicional ao atacante que pode não só vazar informações, mas também sabotar ambientes, injetando comandos no alvo.

Comentários
Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.

 
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.