Investigadores de seguridad pertenecientes al Departamento de Software e Ingeniería de Sistemas de Información de la Universidad de Ben-Gurion han demostrado la existencia de un novedoso método de ataques que permitiría a los actores de amenazas hacerse con datos de algunos ordenadores especialmente protegidos.
Determinados sistemas se encuentran aislados y sin conexión a Internet debido a la naturaleza de la información que manejan, haciendo que resulte casi imposible para los cibermalos penetrar en ellos y acceder a sus datos sensibles. Hablamos de infraestructuras críticas, redes satelitales o militares, etc. A estos se les conoce como "sistemas con brechas de aire".
Sin embargo, los investigadores han hallado una nueva técnica que facilita que los ciberdelincuentes vulneren los sistemas de brechas de aire al explotar la radiación electromagnética de baja frecuencia generada por un ordenador objetivo.
A este ataque encubierto se le ha denominado "COVID-bit". Está basado en que el atacante pueda obtener acceso físico al sistema objetivo para plantar malware en él usando una unidad USB. También puede persuadir a alguien en la distancia para que instale el código malicioso.
El código malicioso explotaría el consumo de energía dinámico de las computadoras y manipularía las cargas momentáneas en los núcleos de la CPU.
Este enfoque permite que el malware controle la utilización interna de la computadora y genere radiación electromagnética de baja frecuencia en la banda de 0-60 kHz.
Para conseguir esto el atacante solo requiere de un smartphone o pequeño ordenador con una antena pequeña que se puede adquirir por solo 1 dólar y situarse a unos 2 metros del equipo al que se quiere acceder. Además, no tendría que estar necesariamente en la misma habitación que el sistema objetivo, ya que la radiación puede traspasar paredes.
Los investigadores advierten de que dicha técnica se puede utilizar para transferir información confidencial de la máquina comprometida, como archivos, claves de cifrado, información biométrica y datos de registro de teclas, que pueden incluir nombres de usuario y contraseñas, junto con claves privadas para billeteras de bitcoin.
"El ataque es altamente evasivo ya que se ejecuta desde un proceso ordinario a nivel de usuario, no requiere privilegios de root y es efectivo incluso dentro de una máquina virtual", explica en un artículo de investigación Mordechai Guri, director de I+D del Centro de Investigación de Seguridad Cibernética de la Universidad Ben Gurion.
El ataque no es infalible
La pega de este ataque a los sistemas con brechas de aire es que resultaría algo lento. Los datos transmitidos en la mencionada frecuencia se transferirían con algo de demora respecto a los métodos estándar.
Este proceso podría requerir unos 10 minutos si se quiere obtener una gran cantidad de información. Así que el atacante tendría que estar ese intervalo cerca del equipo objetivo.
Los investigadores subrayan que la mejor defensa contra este ataque sería garantizar que únicamente el personal autorizado se sitúa físicamente cerca de los sistemas. Además, sugieren que se de la restricción en ciertas frecuencias.