Ataque CASPER rouba dados usando o alto-falante interno de computadores sem conexão com a internet
13 de Março de 2023

Pesquisadores da Escola de Segurança Cibernética da Universidade da Coreia, em Seul, apresentaram um novo ataque de covert channel chamado CASPER que pode vazar dados de computadores air-gapped para um smartphone próximo a uma taxa de 20bits/seg.

O ataque CASPER utiliza os alto-falantes internos dentro do computador alvo como canal de transmissão de dados para transmitir áudio de alta frequência que o ouvido humano não pode ouvir e transmitir código binário ou Morse para um microfone a uma distância de até 1,5m.

O microfone receptor pode estar em um smartphone gravando som dentro do bolso do atacante ou em um laptop na mesma sala.

Pesquisadores já desenvolveram ataques semelhantes utilizando alto-falantes externos.

No entanto, sistemas isolados de rede air-gapped utilizados em ambientes críticos, como redes governamentais, infraestrutura de energia e sistemas de controle de armas, provavelmente não possuem alto-falantes externos.

Por outro lado, os alto-falantes internos que fornecem feedback de áudio, como beeps de inicialização, ainda são considerados necessários, portanto, são comumente encontrados, tornando-os melhores candidatos.

Como é o caso de quase todos os ataques de canal secreto que visam computadores isolados de rede, um funcionário desonesto ou um intruso sorrateiro com acesso físico ao alvo deve primeiro infectá-lo com malware.

Embora esse cenário possa parecer impraticável ou até mesmo impossível, houve vários casos de tais ataques sendo realizados com sucesso no passado, com exemplos notáveis, incluindo o worm Stuxnet, que visou a instalação de enriquecimento de urânio do Irã em Natanz, o malware Agent.BTZ que infectou uma base militar dos EUA e o backdoor modular Remsec, que coletou informações secretamente de redes governamentais air-gapped por mais de cinco anos.

O malware pode autonomamente enumerar o sistema de arquivos do alvo, localizar arquivos ou tipos de arquivo que correspondam a uma lista codificada e tentar exfiltrá-los.
Mais realisticamente, ele pode realizar keylogging, que é mais adequado para essa taxa de transmissão de dados lenta.

O malware irá codificar os dados a serem exfiltrados do alvo em código binário ou Morse e transmiti-los pelo alto-falante interno usando modulação de frequência, alcançando um ultrassom imperceptível em uma faixa entre 17 kHz e 20 kHz.

Os pesquisadores experimentaram o modelo descrito usando um computador baseado em Linux (Ubuntu 20.04) como alvo e um Samsung Galaxy Z Flip 3 como receptor, executando um aplicativo de gravação básico com uma frequência de amostragem de até 20 kHz.

No experimento de código Morse, os pesquisadores definiram o comprimento por bit para 100 ms e usaram 18 kHz para pontos e 19 kHz para traços.

O smartphone estava a 50 cm de distância e conseguiu decodificar a palavra "covert" enviada.

No experimento de dados binários, o comprimento por bit foi definido como 50 ms, transferindo zeros a uma frequência de 18 kHz e 1s a 19 kHz.

Um bit de início/fim de 50 ms também foi usado a 17 kHz para indicar o início de uma nova mensagem.

Com base nos testes realizados, a distância máxima do receptor é de 1,5 metros (4,9 pés), usando um comprimento por bit de 100 ms.

Os resultados gerais do experimento, no entanto, mostram que o comprimento por bit afeta a taxa de erros de bit, e uma taxa máxima de transmissão confiável de 20 bits/s é alcançável quando o comprimento por bit é de 50 ms.

Com essa taxa de transferência de dados, o malware pode transmitir uma senha típica de 8 caracteres em cerca de 3 segundos e uma chave RSA de 2048 bits em 100 segundos.

Qualquer coisa acima disso, como um pequeno arquivo de 10 KB, por exemplo, precisaria de mais de uma hora para ser exfiltrado do sistema air-gapped, mesmo que as condições sejam ideais e não ocorram interrupções durante a transmissão.

"Nosso método é mais lento na transferência de dados em comparação com outras tecnologias de canal secreto que usam métodos ópticos ou eletromagnéticos porque a velocidade de transferência de dados por som é limitada." - Universidade da Coreia.

Uma solução para a taxa de transferência de dados lenta seria variar a banda de frequência para múltiplas transmissões simultâneas; no entanto, os alto-falantes internos só podem produzir som em uma única banda de frequência, portanto, o ataque é praticamente limitado.

Os pesquisadores compartilharam maneiras de se defender do ataque CASPER, sendo a mais simples remover o alto-falante interno de computadores críticos para missão.

Se isso for impossível, os defensores podem implementar um filtro passa-alta para manter todas as frequências geradas dentro do espectro sonoro audível, bloqueando as transmissões de ultrassom.

Se você está interessado em outros ataques de canal secreto contra sistemas air-gapped, confira o COVID-bit, que usa a PSU para gerar ondas eletromagnéticas que carregam dados.

Outros exemplos de ataques semelhantes são o ETHERLED, que depende das luzes LED do cartão de rede do alvo para transmitir sinais de código Morse, e um chamado SATAn, que usa cabos SATA como antenas sem fio.

Publicidade

Cuidado com o deauth, a tropa do SYWP vai te pegar

A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo. Saiba mais...