Comme chaque semaine, le CERT-XMCO partage un bulletin faisant l’actualité. Aujourd’hui, nous vous proposons de revenir sur une nouvelle technique d’exfiltration à l’encontre des systèmes en « air gap ».
Description :
Les chercheurs de l’université de Ben-Guiron à Negev ont récemment mis au point une méthode pour extraire des données d’un ordinateur dans un environnement « air gap ».
Ces environnements ont pour objectif d‘isoler totalement une machine d’un point de vue informatique (réseau, autres machines, équipements électroniques), mais aussi d’un point de vue physique (pièce fermée, cage de faraday…). Le but d’un tel environnement est de rendre impossible toute compromission par un acteur malveillant.
Il se trouve que les chercheurs de l’université de Ben-Guiron ont trouvé une méthode originale pour parvenir à passer outre ces restrictions : utiliser le réseau électrique pour extraire les données dans le cas d’une compromission.
Pour ce faire, les chercheurs ont mis au point un logiciel nommé PowerHammer, permettant d’extraire des informations sur un ordinateur cible. Les données sont modulées, codées et transmises en plus des fluctuations du courant, puis elles sont conduites et propagées à travers les lignes électriques.
Ils ont divisé l’attaque en deux versions différentes :
- La première où l’attaquant sera directement branché au même réseau électrique que la machine ciblée, grâce à une prise par exemple.
- La seconde où l’attaquant sera branché aux réseaux électriques directement via le tableau électrique.
Pour mener à bien l’attaque, il est nécessaire d’utiliser un petit récepteur :
- Le récepteur est une sonde non invasive connectée à un petit ordinateur (pour le traitement du signal). La sonde est attachée à la ligne électrique qui alimente l’ordinateur ou le tableau électrique principal. Il mesure le courant dans la ligne électrique, traite les signaux modulés, décode les données et les envoie à l’attaquant (par exemple, avec un émetteur-récepteur Wi-Fi).
- Le logiciel malveillant présent sur l’ordinateur cible recueille les données recherchées (mots de passe, clés de chiffrement, etc.), encode les données et les transmet par l’intermédiaire de signaux injectés aux lignes électriques jusqu’au destinataire.
- Les signaux sont générés en changeant alternativement la charge de travail sur les différents processeurs qui ne sont pas utilisés par des processus actifs, de telle façon que l’ordinateur ciblé ne montrerait aucun ralentissement ou aucun signe d’exfiltration de données.
Selon leurs tests, les données peuvent être extraites à travers les lignes électriques à des débits binaires de 1000 bits par seconde (1kb/s) pour la première attaque et de 10 bits par seconde pour la seconde.
Références :
Researchers use power lines to exfiltrate data from air-gapped computers
Référence CERT-XMCO :