مرکز امنیت و‌ رخدادهای‌ سایبری | APK

استفاده از خطوط برق برای دزدیدن داده‌ها از رایانه‌های Air-Gapped توسط هکرها

استفاده از خطوط برق برای دزدیدن داده‌ها از رایانه‌های Air-Gapped توسط هکرها

هکرها می‌توانند از طریق کدهای مخربی که مصرف برق رایانه را با تنظیم کارکرد هسته‌ی CPU کنترل می‌کند و داده‌ها را بر اساس نوسانات برق تعدیل می‌نماید، از خطوط برق AC به عنوان کانالی پنهان برای استخراج داده از شبکه‌های Air-Gapped استفاده نمایند.

مهاجمین یک Probe که میزان برق انتقال یافته را اندازه‌گیری می­کند را روی خطوط برق قرار می‌دهند تا سیگنال را پردازش نماید و سپس آن را رمزگشایی نموده و به اطلاعات Binary تبدیل می‌کنند.

در نهایت محققان امنیتی، این نوع جدید از کانال پنهان که به مهاجمین اجازه می‌دهد داده‌ها را با استفاده از خطوط برق AC از رایانه‌های Air-Gapped استخراج کنند، معرفی نموده و نامش را PowerHammer گذاشته‌اند.

شبکه‌ی Air-Gapped به رایانه‌ای ایمن اشاره می‌کند که از شبکه‌های ناامن جداسازی شده است و تحت قوانین امنیتی شدید نگه‌داری می‌شود تا از حداکثر حفاظت اطمینان حاصل گردد. از این شبکه‌ها در سیستم‌های نظامی و دفاعی، زیرساخت‌های حساس، بخش مالی و دیگر صنایع استفاده می‌گردد.

محققان برای اندازه‌گیری میزان برق انتقال یافته روی کابل‌های برق، دو نوع از این حمله را معرفی کردند:

  • Power-Hammering Line Level
  •  Phase Level Power-Hammering

مدل حمله‌ی PowerHammer

برای راه­اندازی این حمله، مهاجمین باید با استفاده از یکی از روش­های مهندسی اجتماعی (Social Engineering)، حمله‌های Supply Chain و یا از طریق اعضای مخرب درون سازمانی، رایانه‌ی Air-Gapped مورد نظر را آلوده به بدافزار کنند. سپس Probe اندازه­گیری که باید به خطوط برق متصل باشد، از طریق رایانه یا پنل الکتریکی اصلی تغذیه نموده و سپس سیگنال‌های تعدیل شده را اندازه‌گیری و رمزگشایی می‌نماید و درنهایت به Attacker می‌فرستد.

حال با قرار دادن این Probe در سیستم، بدافزار شروع به بازیابی داده‌های جالب توجه برای حمله‌کننده می‌نماید. این داده‌ها ممکن است، فایل، کلید‌های رمزگذاری شده، نشانه‌های (Tokenهای) اعتباری یا رمزهای عبور باشند.

در مرحله‌ی Exfiltration، بدافزار با کدگذاری و انتقال داده از طریق سیگنال‌هایی که در خطوط برق تزریق‌شده‌اند و سیگنال‌هایی که بر اساس بار کاری هسته‌های CPU تولید شده‌اند، شروع به خارج کردن داده­ها می‌کند.

حمله‌ی PowerHammer به صورت Line Level و Phase Level

در حمله‌ی Line Level، حمله‌کننده از خطوط برق خانه‌ای که مستقیما به پریز برق متصل‌اند، استفاده می‌کند در حالیکه در حمله‌ی Phase Level، حمله‌کننده از خطوط برق در سطح فاز، در پنل خدمات الکتریکی اصلی استفاده می‌کند.

بنا به گفته‌ی محققان، کانال پنهان در سناریو‌های مختلف، با سه نوع رایانه ارزیابی شده است:

  • یک رایانه‌ی رومیزی
  • یک سرور
  • یک دستگاه IoT با قدرت کم

نتایج نشان داد که داده‌های Binary را می‌توان از رایانه‌های Air-Gapped از طریق خطوط برق در سرعت‌های 1000 بیت در ثانیه برای حمله‌ی Power-Hammering Line Level و 10 بیت در ثانیه برای حمله‌ی Power-Hammering Phase Level به صورت پنهان Exfiltrate نمود.

در ماه‌های گذشته محققان امنیتی از دانشگاه بن گوریونِ نگب، کانال مخفی جدیدی را معرفی کردند که از دوربین Infrared و Surveillance به عنوان کانالی ارتباطی استفاده می‌کرد. این کانال تحت عنوان aIR-Jumper نامگذاری شد.

اشتراک امنیت

دسته ها