Ein neu entdeckter Data-Leakage-Mechanismus nutzt nach neuesten Erkenntnissen Ethernet-Kabel als "Sendeantennen", um heimlich hochsensible Daten aus dem Air-Gap-System zu extrahieren.
Dr. Mordechai Guri, Direktor für Forschung und Entwicklung des Cyber-Sicherheitsforschungszentrums an der Ben-Gurion-Universität des Negev, sagte: "Interessanterweise wurden die zum Schutz des Luftspalts verwendeten Drähte bei diesem Angriff zu einer Schwachstelle im Luftspalt ." Israel sagte Hacker News.
Diese neue Technologie wird als "LANtenna-Angriff" bezeichnet und ermöglicht es bösartigem Code in einem isolierten Computer, sensible Daten zu sammeln und sie dann über Funkwellen zu codieren, die von einem Ethernet-Kabel ausgesandt werden, als wären es Antennen. Das übertragene Signal kann dann drahtlos von einem nahegelegenen Software-Defined-Radio (SDR)-Empfänger abgefangen, die Daten entschlüsselt und dann an einen Angreifer in einem angrenzenden Raum gesendet werden.
"Es ist erwähnenswert, dass bösartiger Code in einem normalen Benutzermodusprozess und erfolgreich in einer virtuellen Maschine ausgeführt werden kann", schrieben die Forscher in einem Artikel mit dem Titel "LANTENNA: Daten aus einem Air-Gap-Netzwerk über ein Ethernet-Kabel stehlen". im Begleitpapier darauf hingewiesen.
Air-Gap-Netzwerke sind als Netzwerksicherheitsmaßnahme konzipiert, die das Risiko von Informationslecks und anderen Cyberbedrohungen minimiert, indem sichergestellt wird, dass ein oder mehrere Computer physisch von anderen Netzwerken (wie dem Internet oder lokalen Netzwerken) getrennt sind. Sie werden normalerweise verkabelt, weil die drahtlosen Netzwerkschnittstellen von Maschinen, die zu solchen Netzwerken gehören, dauerhaft deaktiviert oder physisch entfernt werden.
Dies ist bei weitem nicht das erste Mal, dass Dr. Guri eine unkonventionelle Methode zum Durchsickern sensibler Daten aus einem luftdichten Computer demonstriert. Im Februar 2020 entwickelten Sicherheitsforscher eine Methode, die kleine Änderungen der Helligkeit des LCD-Bildschirms (mit bloßem Auge nicht sichtbar) nutzt, um heimlich binäre Informationen in einem Muster ähnlich dem Morsecode zu modulieren.
Im Mai 2020 zeigte Dr. Guri dann, wie Malware das Netzteil (PSU) des Computers nutzt, um Ton abzuspielen und es als Out-of-Band-Zusatzlautsprecher zu verwenden, um bei einem Angriff namens "POWER-SUPPLaY" Daten durchsickern zu lassen.
Schließlich demonstrierten die Forscher im Dezember 2020 "AIR-FI", einen Angriff, der Wi-Fi-Signale als verdeckten Kanal verwendet, um vertrauliche Informationen durchsickern zu lassen, ohne dass dedizierte Wi-Fi-Hardware auf dem Zielsystem erforderlich ist.
Ähnlich verhält es sich beim LANtenna-Angriff, der mittels Schadsoftware in der Air-Gap-Workstation das Ethernet-Kabel dazu bringt, elektromagnetische Emissionen im 125-MHz-Frequenzband zu erzeugen, die dann moduliert und von nahegelegenen Funkempfängern abgefangen werden. Bei der Proof-of-Concept-Demonstration wurden Daten, die von einem Air-Gap-Computer über ein Ethernet-Kabel übertragen wurden, in einer Entfernung von 200 cm empfangen.
Wie bei anderen solchen Angriffen auf Datenlecks erfordert das Auslösen einer Infektion die Bereitstellung von Malware im Zielnetzwerk über eine Vielzahl von Infektionsvektoren, von Angriffen auf die Lieferkette oder kontaminierten USB-Laufwerken bis hin zu Social-Engineering-Techniken, gestohlenen Anmeldeinformationen oder der Verwendung bösartiger Insider.
Als Gegenmaßnahme schlugen die Forscher vor, die Verwendung von Funkempfängern in und um das Air-Gap-Netzwerk zu verbieten und alle Aktivitäten der Link-Layer-Netzwerkschnittstellenkarte mit versteckten Kanälen sowie mit störsender WLAN Signalen zu überwachen und Metallabschirmungen zu verwenden, um elektromagnetische Feldstörungen zu begrenzen mit abgeschirmten Drähten Oder von der abgeschirmten Leitung.
"Dieses Papier zeigt, dass Angreifer Ethernet-Kabel verwenden können, um Daten aus dem Air-Gap-Netzwerk zu stehlen", sagten die Forscher in dem Papier. "Malware, die in sicheren Workstations, Laptops oder eingebetteten Geräten installiert ist, kann verschiedene Netzwerkaktivitäten auslösen, die elektromagnetische Strahlung von Ethernet-Kabeln erzeugen."
"Spezielle und teure Antennen können bessere Entfernungen erzeugen, wobei einige Kabel mehrere Dutzend Meter erreichen", fügte Dr. Guri hinzu.