SATAn, così il cavo SATA si trasforma in antenna Wi-Fi per rubare dati riservati

È stato ribattezzato SATAn il nuovo metodo di attacco che può essere utilizzato per carpire dati dai sistemi air-gapped che, lo ricordiamo, rappresentano un’efficiente misura di sicurezza che consiste nell’isolare fisicamente un computer, una rete privata e, più in generale, un’infrastruttura critica dal mondo esterno e soprattutto da Internet.

Scoperto dal ricercatore di sicurezza Mordechai Guri, capo della ricerca e sviluppo del Cyber Security Research Center all’Università Ben Gurion del Negev in Israele, SATAn si aggiunge alla lunga lista di altre tecniche elettromagnetiche, elettriche, ottiche e acustiche già dimostrate in passato dallo stesso ricercatore.

Dall’inizio del 2020 sono stati quattro, infatti, gli approcci sperimentati che sfruttano vari canali laterali per sottrarre informazioni da sistemi air-gapped:

• Brightness
• Power-Supplay
• Air-Fi
• LANtenna

La tecnica di attacco in oggetto, invece, per far trapelare dati tramite segnali radio sfrutta i cavi SATA (Serial Advanced Technology Attachment) o Serial ATA come antenna wireless.

La Serial ATA, lo ricordiamo, è un’interfaccia bus utilizzata per trasferire dati a velocità più elevate su dispositivi di archiviazione di massa e per collegare le unità disco rigido (HDD), unità a stato solido (SSD) e unità ottiche (CD/DVD) alla scheda madre dei computer.

“Sebbene i computer air-gap non dispongano di connettività wireless, dimostriamo che gli aggressori possono utilizzare il cavo SATA come antenna wireless per trasferire segnali radio nella banda di frequenza a 6 GHz”, si legge nel rapporto pubblicato dal ricercatore.

SATAn: lo scenario di attacco

Il metodo di attacco SATAn si basa essenzialmente su di un modello APT (Advanced Persistent Threat) basato su quattro fasi principali:

1. la penetrazione iniziale: in questa fase, l’attaccante viola i livelli di difesa e installa il malware (SATAn) nella rete di destinazione air-gapped utilizzando opzionalmente attacchi alla catena di approvvigionamento, supporti rimovibili oppure gli insider. Ad esempio dal 2010 ad oggi, diversi sono stati gli attacchi informatici avanzati noti che hanno impiegato supporti rimovibili, come le chiavette USB per infettare postazioni di lavoro protette (Agent.BTZ, Stuxnet, ProjectSauron, Emotional Simian, USBCulprit e Ramsay);
2. la raccolta dei dati: dopo aver stabilito un punto d’accesso nella rete di destinazione, l’attacco passa alla fase di raccolta dei dati, tramite ad esempio delle componenti keylogger del malware installato. L’attaccante potrebbe anche crittografare e nascondere i dati eludendo le soluzioni di prevenzione fuga dati di tipo DLP;
3. l’esfiltrazione: il malware SATAn a questo punto, esfiltra i dati individuando le postazioni di lavoro o i server nella rete che contengono interfacce SATA attive (computer con dischi rigidi, unità a stato solido, unità ottiche). Il malware utilizza quindi uno shellcode specializzato per generare segnali radio dai cavi SATA. I dati raccolti vengono così modulati, codificati e trasmessi attraverso il canale segreto;
4. la ricezione dei dati: le informazioni esfiltrate possono a questo punto essere ricevute attraverso un ricevitore che monitora lo spettro dei 6 GHz alla ricerca di una potenziale trasmissione, demodula i dati, li decodifica e li invia all’attaccante. In uno scenario di attacco reale, il ricevitore potrebbe essere implementato come processo in computer vicino o incorporato in un ricevitore hardware dedicato.

SATAn, dimostrazione dello sfruttamento del canale segreto

Durante la ricerca, il ricercatore Guri è stato in grado di generare segnali elettromagnetici per trasmettere la parola “SECRET” da un sistema air-gapped verso un computer vicino.

Nel video che segue si vede come le informazioni sensibili di una stazione di lavoro air-gapped, vengono trasmesse tramite segnali radio dal cavo SATA della postazione verso un ricevitore installato su di un laptop.

SATAn: Air-Gap Exfiltration Attack via Radio Signals From SATA Cables

Guarda questo video su YouTube

Esperimenti e valutazioni

Per la configurazione sperimentale sono stati utilizzati tre computer di serie con chassis metallici chiusi durante gli esperimenti.

Tutti i computer testati sono PC con Linux Ubuntu 20.04.1 a 64 bit come sistema operativo, dotati di un’interfaccia SATA con Transcend 256GB MLC SATA III 6Gb/s e drive SSD 370 da 2,5”.

Come ricevitore, è stato utilizzato l’SDR ADALM PLUTO Software-defined Radio (AD9364 con copertura RF da 70 MHz a 6 GHz) collegato tramite USB a un computer portatile con sistema operativo Microsoft Windows 10 Enterprise. Il segnale di output è stato elaborato via MathWorks MATLAB per la ricezione e la demodulazione.

I risultati ottenuti hanno determinato principalmente che:

1. la distanza massima tra il computer air-gapped e il ricevitore non può essere maggiore di 120 cm per garantire l’integrità del messaggio (sopra il 15%) e che tale distanza influenza anche il tempo di trasmissione;

1. 1 bit/sec, è il tempo minimo per generare un segnale sufficientemente forte per la modulazione;
2. quando si abusa delle macchine virtuali per eseguire le operazioni di lettura/scrittura dei dati, la qualità del segnale sul cavo SATA si riduce notevolmente rispetto a quella generata da un host fisico.

Le contromisure all’attacco SATAn

I risultati hanno pertanto dimostrato che gli aggressori possono utilizzare un cavo SATA per trasferire informazioni sensibili da computer altamente protetti, in modalità wireless, verso un ricevitore distante a più di 1 metro di distanza e che l’attacco può operare in modalità utente e può essere efficace sotto determinate condizioni anche dall’interno di una macchina virtuale guest.

Alla luce di tutto questo, Mordechai Guri consiglia diverse soluzioni possibili:

1. prevenire la penetrazione iniziale proteggendo l’usabilità e l’integrità dell’infrastruttura air-gapped con più livelli di sicurezza (firewall, sistemi di rilevamento e prevenzione delle intrusioni, analisi del traffico di rete e controllo degli accessi) e con contromisure basate sulle policy di sicurezza fisica, vietando ad esempio l’uso di ricevitori radio in strutture o stanze entro una certa distanza dall’area protetta;
2. adottare un sistema di monitoraggio a radiofrequenza (RF) esterno per rilevare anomalie nella banda di frequenza a 6 GHz nelle vicinanze del computer trasmittente. Questo approccio potrebbe comunque generare falsi allarmi ed avere un basso tasso di rilevamento, poiché qualsiasi operazione di lettura/scrittura crea un’emissione elettromagnetica indipendentemente dal canale nascosto, rendendo difficile la distinzione tra operazioni legittime e malevole;
3. aggiungere rumore al segnale tramite tecniche di jamming. Il disturbo potrebbe essere prodotto dal sistema operativo stesso (tramite algoritmi implementati ad hoc) alterando la trasmissione con operazioni di lettura e scrittura casuali quando viene rilevata un’attività sospetta su di un canale nascosto. Questa soluzione comunque presenta l’inconveniente di peggiorare le prestazioni delle attività del disco causando, a lungo termine, danni allo storage. In alternativa si potrebbero utilizzare disturbatori di segnali radio nella banda di frequenza dei 6 GHz esterni. Tali dispositivi sono però costosi e non possono essere utilizzati su larga scala.