Attacco Air-Fi, rubare dati da PC air-gapped usando segnali Wi-Fi segreti: i dettagli

In un documento pubblicato dal ricercatore Mordechai Guri dell’Università Ben-Gurion del Negev in Israele viene descritta una nuova tecnica di attacco per l’esfiltrazione dati denominata “Air-Fi” che, grazie ad un malware installato su un sistema air-gapped compromesso, consente di generare segnali nella banda di frequenza Wi-Fi intercettabili da un dispositivo posto nelle vicinanze.

In particolare, qualunque dispositivo Wi-Fi di uso comune come uno smartphone, un laptop o i device IoT, potrebbe quindi essere usato per captare questi segnali, decodificarli e inoltrarli ad un attaccante tramite Internet.

Il canale Wi-Fi segreto dell’attacco Air-Fi

L’attacco Air-Fi, secondo la ricerca, non richiede che sui computer air-gapped bersaglio ci sia installato alcun hardware specifico Wi-Fi, in quanto viene dimostrato che un attaccante può sfruttare i bus di memoria per moduli DDR SDRAM (integrati nelle moderne schede madri) allo scopo di generare emissioni elettromagnetiche nella banda di frequenza tipica del protocollo Wi-Fi IEEE 802.11b/g/n (2,4 GHz) e codificare dati binari senza necessità di privilegi speciali e anche nei casi di impiego di ambienti virtualizzati (gli esperimenti hanno mostrato che i dati possono essere trasmessi attraverso il canale segreto Air-Fi anche se elaborati da un sistema virtuale).

Tipicamente, la comunicazione tra la CPU e i moduli di memoria avviene tramite un bus sincronizzato con il clock di sistema e che si occupa di trasferire indirizzi, comandi e dati. La radiazione elettromagnetica generata avrà pertanto una frequenza correlata alla frequenza di clock che nel caso di banchi di memoria DDR4-2400 si aggira proprio intorno ai 2400 MHz.

Qualora la frequenza di funzionamento dei moduli di memoria si discostassero dal valore di riferimento, spiega la ricerca, è possibile effettuare un overclock o downclock della velocità di memoria adeguandola alla frequenza Wi-Fi di 2,4 GHz.

A tal proposito, sono stati scoperti in natura diversi malware in grado di riconfigurare il BIOS/UEFI riuscendo così a controllare il sistema operativo e l’intero hardware del dispositivo (i più recenti sono Trickbot e MosaicRegressor).

Il modello di attacco Air-Fi

Presupponendo una fase preliminare in cui la rete air-gapped sia stata compromessa con un attacco APT, gli aggressori potrebbero installare malware sulla rete in vari modi, ad esempio attaccando le catene di approvvigionamento (come la supply chain usata per distribuire gli aggiornamenti alle singole macchine), contaminando unità USB, impiegando tecniche d’ingegneria sociale o personale interno malintenzionato.

Il modello di attacco può, quindi, essere così schematizzato:

1. la componente trasmittente del malware in esecuzione sul computer air-gapped compromesso (A) genera tramite i moduli di memoria DDR interni il segnale alla frequenza Wi-Fi. L’algoritmo malevolo raccoglie i dati da carpire (documenti, credenziali, chiavi di cifratura) avvia il canale segreto AIR-FI, codifica i dati e li trasmette utilizzando il sistema elettromagnetico generato dal bus DDR SDRAM;
2. la componente ricevente del malware eseguita all’interno del firmware del modulo Wi-Fi del dispositivo ricevente posto nelle vicinanze, che può essere un laptop (B) o uno smartphone (C), raccoglie il segnale con il dato binario modulato, rileva e decodifica la trasmissione segreta AIR-FI e la invia all’attaccante via Internet. I dispositivi da utilizzare come ricevitori potrebbero essere cellulari di visitatori, computer desktop, portatili di dipendenti e dispositivi IoT tutti compromessi preliminarmente.

Specifiche sperimentali e risultati di un attacco Air-Fi

La sperimentazione ha previsto, mediante una serie di test, la valutazione del mantenimento delle caratteristiche di segretezza del canale di attacco Air-Fi.

Gli esperimenti sono stati eseguiti analizzando l’efficacia in termini di valori SNR (Rapporto Segnale Rumore) e BER (Bit Error Rate) in funzione della distanza tra i ricevitori e le workstation air-gapped, secondo varie combinazioni di comunicazione tra due tipologie di dispositivi riceventi installate su workstation Lenovo ThinkCentre M93p con processore Intel Core i7-4785T e sistema operativo Ubuntu 16.04.14.4.0 (Tabella III Receivers – un ricevitore radio software SDR e un adattatore di rete Wi-Fi USB), 4 tipi di postazioni di lavoro desktop air-gapped (Tabella IV – Workstation) e tre diversi ambienti virtualizzati (Tabella XIII – Virtualizations: Bare metal, Virtualbox e VMware).

I risultati hanno mostrato l’efficienza del canale segreto anche a distanze di diversi metri dai computer air-gapped, raggiungendo velocità di trasmissione effettive comprese tra 1 e 100 bit/sec, secondo il tipo di accoppiamento ricevitore/trasmettitore effettuato.

Considerazioni finali

Sulla base delle considerazioni progettuali, dei dettagli implementativi e delle valutazioni sul canale segreto utilizzabile in un attacco Air-Fi, la ricerca si conclude proponendo una serie di contromisure da attuare secondo diversi approcci difensivi:

• la “zone separation” nel rispetto degli standard di sicurezza delle telecomunicazioni NATO previsti per la protezione contro le minacce TEMPEST (protezione dalle trasmissioni spurie) e altri tipi di attacchi che sfruttano le emissioni elettromagnetiche;
• il rilevamento runtime, attraverso kit hardware per il monitoraggio Wi-Fi o soluzioni di tipo MemoryMonRWX, per tracciare e bloccare gli accessi alla memoria;
• il disturbo delle bande di frequenza Wi-Fi tramite strumenti hardware/software jamming opportunamente tarati;
• l’isolamento fisico con l’impiego di gabbie di Faraday per limitare l’interferenza dei campi elettromagnetici.