İsrail araştırmacısı Mordechai Guri, ağ kartlarındaki LED göstergelerini kullanarak hava kaplı sistemlerden verileri yaymak için yeni bir yöntem keşfetti. 'Etherled' olarak adlandırılan yöntem, yanıp sönen ışıkları bir saldırgan tarafından çözülebilen Mors kodu sinyallerine dönüştürür.
Sinyalleri yakalamak, hava kaplı bilgisayarın kartındaki LED ışıkları için doğrudan görüş hattı olan bir kamera gerektirir. Bunlar, bilgileri çalmak için ikili verilere çevrilebilir.
Hava engelli sistemler, genellikle güvenlik nedeniyle kamuya açık internetten izole edilen yüksek derecede hassas ortamlarda (örneğin kritik altyapı, silah kontrol birimleri) bulunan bilgisayarlardır.
Ancak, bu sistemler hava kaplı ağlarda çalışır ve yine de bir ağ kartı kullanır. Bir davetsiz misafir onlara özel hazırlanmış kötü amaçlı yazılımlarla bulaşırsa, kart sürücüsünü kodlanmış veri dalgalarını göndermek için LED rengi ve yanıp sönme frekansını değiştiren bir versiyonla değiştirebilirler.
Etherled yöntem, LED'leri yönlendiriciler, ağa bağlı depolama (NAS) cihazları, yazıcılar, tarayıcılar ve diğer çeşitli bağlı cihazlar gibi operasyonel göstergeler olarak kullanan diğer çevre birimleri veya donanımlarla çalışabilir.
Klavyeler ve modemlerdeki LED'lerin kontrolünü ele geçiren optik yayılmaya dayanan daha önce açıklanmış veri eksfiltrasyon yöntemleriyle karşılaştırıldığında, eterled daha gizli bir yaklaşımdır ve şüphe uyandırma olasılığı daha düşüktür.
Saldırı, ağ kartı için ürün yazılımının değiştirilmiş bir sürümünü içeren hedef bilgisayar kötü amaçlı yazılımlarına dikilmesiyle başlar. Bu, LED yanıp sönme frekansı, süresi ve renginin kontrol edilmesini sağlar.
Alternatif olarak, kötü amaçlı yazılım, bağlantı durumunu değiştirmek veya sinyalleri oluşturmak için gereken LED'leri modüle etmek için ağ arayüz denetleyicisi (NIC) için sürücüye doğrudan saldırabilir.
Araştırmacı, kötü niyetli sürücünün ağ bağlantı hızlarına keman yapmak ve Ethernet arayüzünü etkinleştirmek veya devre dışı bırakmak için belgelenmiş veya belgesiz donanım işlevselliğini kullanabileceğini ve ışık yanıp sönmesine ve renk değişikliklerine neden olabileceğini buldu.
Guri'nin testleri, her veri çerçevesinin paketin başlangıcını işaretlemek için '1010' dizisi ile başladığını ve ardından 64 bitlik bir yükü gösteriyor.
Tek durumlu LED'ler aracılığıyla veri eksfiltrasyonu için, 100 ms ve 300 ms arasında süren Morse kodu noktaları ve çizgiler üretildi, 100 ms ve 700 ms arasındaki gösterge deaktivasyon boşlukları ile ayrıldı.
Mors kodunun bit hızı, sürücü/ürün yazılımı saldırısı yöntemini kullanırken on kata kadar (10m nokta, 30m çizgi ve 10-70ms boşluk) artırılabilir.
Sinyalleri uzaktan yakalamak için, tehdit aktörleri akıllı telefon kameralarından (30 metreye kadar), dronlardan (50 metreye kadar), hacklenmiş web kameralarından (10m), hacklenen gözetim kameraları (30m) ve teleskoplar veya kameralardan telefoto veya superzoom lenslerle kullanabilir. (100 metreden fazla).
Etherling yoluyla şifreler gibi sırları sızdırmak için gereken süre, kullanılan saldırı yöntemine, özel bitcoin anahtarları için 2.5 saniye ila 4,2 dakika ve 4096 bit RSA anahtarları için 42 saniye ila bir saat arasında değişir.
Mordechai ayrıca, yakındaki (6 metreye kadar) akıllı telefonun jiroskop sensörü tarafından yakalanan hedef sistemdeki rezonans frekanslarının üretilmesine dayanan hava kaplı sistemlere yapılan bir saldırı olan 'Gairoscope' üzerine bir makale yayınladı.
Temmuz ayında, aynı araştırmacı, bilgisayarların içinde anten olarak SATA kablolarını kullanan 'Şeytan' saldırısını sundu ve yakındaki (1.2 metreye kadar) dizüstü bilgisayarlar tarafından yakalanabilen veri taşıyan elektromanyetik dalgalar üretti.
Mordechai Guri'nin hava boşluğu gizli kanal yöntemlerinin tam koleksiyonu, Negev'in Ben-Gurion Üniversitesi web sitesindeki özel bir bölümde bulunabilir.
Fidye yazılımı çeteleri 'geri arama' sosyal mühendislik saldırılarına geçiyor
Son Fidye Yazılımı Saldırılarına Bağlı Yeni 'Donut Sızıntıları' gasp çetesi
Lockbit, güvenlik devi emanetine yönelik fidye yazılımı saldırısını iddia ediyor, verileri sızdırıyor
Microsoft, Rus bilgisayar korsanlarının NATO Hedefleri üzerindeki operasyonunu bozar
Ransomware Gang tarafından ihlal edilen dijital güvenlik devi emri
Kaynak: Bleeping Computer