بدافزار جدید با تبدیل منبع تغذیه به بلندگو داده‌های حساس دستگاه‌های Air-Gapped را به سرقت می‌برد

یکی از پژوهش‌گران دانشگاه Ben Gurion رژیم صهیونیستی در Negev به‌تازگی از بدافزار جدیدی رونمایی کرده است که می‌تواند برای سرقت داده‌های بسیار حساس از سیستم‌های air-gapped و audio-gapped با استفاده از ایجاد موج صوتی آکوستیک در واحدهای منبع تغذیه موجود در دستگاه‌های پردازشی پیشرفته مورد استفاده قرار گیرد.

آخرین پژوهش انجام‌شده روی مجموعه‌ای از روش‌هایی که از کانال‌های الکترومغناطیسی، صوتی، حرارتی و نوری مخفی و حتی کابل‌های برق برای استخراج داده از رایانه‌های شبکه استفاده می‌کنند، POWER-SUPPLaY نام دارد.

این پژوهش‌گر تشریح کرد که بدافزار جدید می‌تواند از واحد منبع تغذیه‌ی رایانه برای پخش صداها بهره‌برداری کند و از آن به‌عنوان یک بلندگوی ثانویه با قابلیت‌های محدود استفاده کند.

این کد مخرب، فرکانس سوئیچینگ داخلی منبع تغذیه را دست‌کاری می‌کند و شکل موج‌های صوتی تولیدشده از خازن‌ها و ترانسفورماتورهای آن را کنترل می‌کند.

این روش در انواع سیستم‌های مختلف از جمله ایستگاه‌های کاری و سرورها و همچنین سیستم‌های تعبیه‌شده و دستگاه‌های اینترنت اشیایی که هیچ سخت‌افزار صوتی ندارند، کار می‌کند. داده‌ی دودویی از طریق سیگنال‌های صوتی قابل مدوله شدن و انتقال است.

سیستم‌های air-gapped برای کاهش خطر افشای اطلاعات در محیط‌هایی که داده‌های حساس دارند، ضروری هستند. این دستگاه‌ها به‌طور خاص سخت‌افزار صوتی خود را غیرفعال کرده‌اند تا مانع از استفاده‌ی مهاجمان از بلندگوها و میکروفن‌ها برای انتقال اطلاعات از طریق امواج صوتی و فراصوتی شوند.

همچنین ضروری است که هر دو دستگاه فرستنده و گیرنده در مجاورت فیزیکی یکدیگر قرار داشته باشند و برای ایجاد لینک ارتباطی، با بدافزار مناسبی آلوده شده باشند.

POWER-SUPPLaY به همان روشی که بدافزار درحال اجرا در یک رایانه می‌تواند از PSU بهره ببرد و از آن به‌عنوان یک بلندگوی خارج از محدوده استفاده کند، عمل می‌کند، در نتیجه نیازی به سخت‌افزار صوتی خاصی ندارد.

این روش امکان پخش جریان‌های صوتی از یک رایانه را حتی در صورت غیرفعال بودن سخت‌افزار صوتی و عدم وجود بلندگو نیز فراهم می‌کند. داده‌ی دودویی می‌تواند از طریق سیگنال‌های صوتی مدوله و منتقل شود. سیگنال‌های صوتی می‌توانند توسط یک گیرنده‌ی نزدیک که داده را مدوله و رمزگشایی می‌کند و آن را از طریق اینترنت به مهاجم ارسال می‌کند، دریافت شوند.

به عبارت دیگر، بدافزار air-gap بار کاری پردازنده‌های پیشرفته را تنظیم می‌کند تا مصرف انرژی و فرکانس سوئییچینگ PSU را برای انتشار یک سیگنال صوتی در محدوده‌ی ۰-۲۴ کیلوهرتز و مدوله کردن داده‌ی دودویی کنترل کند.

 سپس بدافزار موجود در رایانه‌ی آسیب‌دیده نه تنها داده‌های حساس را جمع‌آوری می‌کند، بلکه داده را در فرمت WAV و با استفاده از امواج صوتی آکوستیک منتشرشده از منبع تغذیه‌ی رایانه که توسط گیرنده رمزگشایی می‌شود، انتقال می‌دهد.

به‌گفته‌ی این پژوهش‌گر یک مهاجم می‌تواند با نرخ ۵۰ بیت بر ثانیه داده را از سیستم‌های audio-gapped به تلفن همراه نزدیکی که در ۲٫۵ متری آن قرار دارد، استخراج کند.

یکی از پیامدهای نقض حریم خصوصی این حمله ردیابی cross-device است، زیرا این روش بدافزار را قادر می‌سازد که تاریخچه‌ی مرور را در سیستم آسیب‌دیده ثبت کند و اطلاعات را به گیرنده ارسال کند.

این پژوهش‌گر پیشنهاد می‌کند که سیستم‌های حساس در مناطق محدودی که تلفن‌های همراه و سایر تجهیزات الکترونیکی ممنوع هستند، منطقه‌بندی شوند. داشتن یک سیستم تشخیص نفوذ برای نظارت بر رفتار مشکوک پردازنده و راه‌اندازی شناساگرهای سخت‌افزاری سیگنال می‌تواند به دفاع در برابر کانال مخفی کمک کند.

با توجه به تجهیزات هسته‌ای air-gapped در ایران و هند که دچار نقض امنیت شده‌اند، پژوهش جدید یادآوری می‌کند که حملات supply chain پیچیده را می‌توان علیه سیستم‌های ایزوله انجام داد.

کد POWER-SUPPLaY می‌تواند از یک فرآیند معمولی حالت کاربر اجرا شود و به دسترسی سخت‌افزاری یا امتیازات روت نیاز ندارد.

منبع

پست‌های مشابه

Leave a Comment

7 + 9 =