Angriff auf Air-Gap

Air-Gapped-Systeme, also Magnetbänder im Aktenschrank, sind aufgrund der Art der Daten, die sie verarbeiten, vom Internet isoliert. Die Idee dahinter ist, dass durch die vollständige Trennung vom öffentlichen Internet und dem restlichen Netzwerk alle gespeicherten und verarbeiteten Informationen vor dem unbefugten Zugriff durch Außenstehende geschützt sind.

Verschiedene Defensivmaßnahmen erzwingen die Isolierung des Air-Gap. So haben Computer mit Air-Gap normalerweise ihre drahtlosen Schnittstellen-Controller (z. B. Wi-Fi und Bluetooth) deaktiviert oder entfernt. In einigen Fällen wird der physische Zugang zur Air-Gapped Umgebung durch eine strenge Zugangskontrolle, biometrische Authentifizierung und ein persönliches Identitätssystem kontrolliert.

Typischerweise finden sich Air-Gapped-Systeme in sensiblen oder risikoreichen Umgebungen, die ein verlockendes Ziel für böswillige Hacker darstellen, wie etwa kritische Infrastrukturen, Satelliten- und Militärnetze.

Eine neue Technik, die von Forschern der Abteilung für Software- und Informationssystemtechnik der Ben-Gurion-Universität des Negev demonstriert wurde, zeigt jedoch, dass es Angreifern möglich ist, in luftgestützte Systeme einzudringen, indem sie elektromagnetische Niederfrequenzstrahlung ausnutzen, die von dem betreffenden Computer erzeugt wird.

„Der Angriff ist äußerst verdeckt, da er von einem gewöhnlichen Prozess auf Benutzerebene aus ausgeführt wird, keine Root-Rechte erfordert und sogar innerhalb einer virtuellen Maschine wirksam ist“, schrieb Mordechai Guri, Leiter der Forschungs- und Entwicklungsabteilung des Cyber Security Research Center an der Ben-Gurion-Universität, einer staatlichen Universität in Be’er Scheva, Israel, in einem kürzlich veröffentlichten Forschungspapier.

Der COVID-Bit genannte Angriff (hat nichts mit dem Virus zu tun, sondern ist aus Covert (Verdeckt) abgeleitet) über einen verdeckten Kanal setzt voraus, dass sich ein Angreifer physischen Zugang zum Zielsystem verschafft, um dort mithilfe eines USB-Laufwerks Malware einzuschleusen. Dabei kann es sich um einen verdeckten Agenten handeln, der sich Zugang zu der gesicherten Einrichtung verschafft hat, in der sich der abgehörte Rechner befindet, oder um einen böswilligen Insider, der dazu überredet, erpresst oder ausgetrickst wird, die Malware zu installieren.

Berichten zufolge wurde Stuxnet, ein Malware-Wurm, der 2010 die Siemens-Turbinen für die iranische Urananreicherung und Nuklearanlagen empfindlich störte, über USB-Flash-Laufwerke eingeschleust. Ein physischer Zugriff ist also zwar schwierig, aber nicht unmöglich.

Der bösartige Code nutzt den dynamischen Stromverbrauch von Computern aus und manipuliert die momentane Belastung der CPU-Kerne. Auf diese Weise kann die Malware die interne Auslastung des Computers steuern und niederfrequente elektromagnetische Strahlung im Bereich von 0-60 kHz erzeugen.

Laut den Forschern ist es möglich, diese Technik auszunutzen, um sensible Informationen von dem kompromittierten Rechner zu übertragen, darunter Dateien, Verschlüsselungsschlüssel, biometrische Informationen und Keylogging-Daten, die Benutzernamen und Passwörter sowie private Schlüssel für Bitcoin-Wallets enthalten können.

Dazu braucht der Angreifer nur ein Smartphone oder einen Laptop mit einer kleinen Antenne, die für nur einen Dollar zu haben ist, und muss sich in einem Umkreis von etwa zwei Metern um den kompromittierten Rechner befinden. Der Angreifer muss sich nicht unbedingt im selben Raum wie das Zielsystem befinden, da die erzeugte elektromagnetische Strahlung eine Wand durchdringen kann.

Daten, die über diese Frequenz übertragen werden, werden nicht so schnell übertragen wie bei herkömmlichen Methoden: Die Forscher stellen fest, dass die Übertragung einer großen Informationsmenge, z. B. der Keylogging-Daten der letzten Stunde, bis zu 10 Minuten dauern kann. Solange der Angreifer jedoch nicht physisch aus dem Umkreis entfernt wird, werden die Daten heimlich übertragen.

Der beste Schutz gegen einen COVID-Bit-Angriff besteht darin, sicherzustellen, dass nur autorisiertes Personal in die Nähe der Systeme gelangen darf, obwohl dies nicht das Problem eines kompromittierten Insiders mit der entsprechenden Berechtigung löst.

Das Forschungspapier schlägt vor, dass zusätzliche Maßnahmen zum Schutz vor dieser Art von Angriffen auf abgekapselte Systeme die Einschränkung der Frequenzen, die von bestimmten CPUs verwendet werden können, sowie die Verwendung von Antivirensoftware, die ungewöhnliche CPU-Muster erkennen kann, umfassen.

„Sicherheitssysteme wie Anwendungen zum Schutz und zur Erkennung von Malware können überwachen, wie laufende Threads die CPU-Kerne nutzen, um verdächtige Muster zu erkennen. Im Fall von COVID-bit würden Threads, die die CPU-Auslastung dauerhaft verändern, für weitere forensische Untersuchungen gemeldet werden“, so Guri.

COVID-bit ist nicht das erste Mal, dass Guri Wege zur Umgehung von Air-Gapped-Systemen gefunden hat, wie frühere Forschungsarbeiten zeigen, in denen andere Techniken wie Powerhammer, Power-SuppLaY und Air-Fi vorgestellt wurden.