Instalado en un router el malware puede tomar el control de los LED del dispositivo y utilizarlos para transmitir datos en un formato binario a un atacante cercano, que puede capturar usando un equipo de grabación de vídeo simple
Este escenario de ataque es la creación de un talentoso equipo de investigadores del Centro de Investigación de la Seguridad Cibernética en la Universidad Ben-Gurion del Negev en Israel, que previamente investigado otros tipos de escenarios exfiltración de datos que dependen de los LED de disco duro, gemido bobina, auriculares, y otros.Toda la operación se centra alrededor de una pieza de malware que los investigadores crearon y llamarón XLED.
Este malware interceptará datos específicos que pasan por el router, descomponiendolo en su formato binario, y usar un router LED para indicar los datos a un atacante cerca, con el LED encendido de pie para un uno binario y el LED de apagado representa un cero binario.Un atacante con una línea de visión clara hacia el equipo puede registrar la operación intermitente. Este “atacante” puede ser una cámara de seguridad, una información privilegiada de la empresa, el equipo de grabación montado en un avión no tripulado, y varias otras configuraciones donde un dispositivo de grabación de vídeo tiene una visión clara del router o LEDs parpadeantes de los interruptores.
Durante las pruebas, los investigadores dicen que han probado varias configuraciones para la configuración de la grabación de vídeo, tales como sensores ópticos, cámaras de seguridad / CCTV, cámaras extremas, cámaras de teléfonos inteligentes, cámaras portátiles / ocultos, y otros.
El equipo de investigación dice que logra los mejores resultados con sensores ópticos, ya que son capaces de señales LED de muestreo a tasas elevadas, lo que permite la recepción de datos en un ancho de banda mayor que otro equipo de grabación de vídeo típica.
Los investigadores dicen que mediante el uso de sensores ópticos, que fueron capaces de exfiltrate datos a una velocidad de más de 1.000 bit / seg por LED. Desde enrutadores y conmutadores han más de un LED, la velocidad exfiltración se puede aumentar muchas veces si se utilizan múltiples LEDs para exfiltración de datos. Básicamente, los más puertos del router y switch tiene, más datos que el malware puede robar desde el dispositivo.
Ventajas y desventajas de los ataques XLED
Al igual que la mayoría de los escenarios de exfiltración, la mayoría sólo existe a nivel teórico y tienen varias desventajas. El problema con XLED es que el malware se tiene que ejecutar en el router o switch que necesitamos para robar datos.Para ello, el atacante tendría que encontrar una debilidad en la seguridad en el dispositivo que le permita instalar el software malicioso, ya sea a través de un defecto de ejecución remota de código o una actualización de firmware contaminada.
El problema aquí es que una vez que un atacante ha obtenido acceso a un router o switch, no hay razón para jugar con LEDs parpadeantes, ya que hay muchos otros métodos más eficientes de robar datos de una empresa, especialmente después de haber hackeado uno de sus routers.
Aunque algo poco práctico, esta investigación es parte de un esfuerzo mayor del mismo equipo de investigación que ha pasado los últimos años explorando diversos métodos de robo de datos de los sistemas con huecos de aire.
Anteriormente, el equipo de Ben Gurion ha llegado con diversas técnicas de piratería extravagantes, tales como
LED-it-Go: Exfiltrate datos de los sistemas con huecos de aire a través de la actividad de una unidad de disco duro LEDSPEAKE(a)R: Utilizar los auriculares para grabar audio y espiar a los usuarios cercanos
9-1-1 DDoS:: Lanzar ataques que pueden paralizar un estado de EE.UU. 911 sistemas de emergencia
usbee: Hacer bus de datos de un conector USB dar a conocer las emisiones electromagnéticas que se pueden utilizar para exfiltrate datos
AirHopper: Utilizar la tarjeta GPU local para emitir señales electromagnéticas a un teléfono móvil cerca, también se utilizan para robar datos
Fansmitter: Robar datos desde el aire PC -gapped utilizando sonidos emanados por el ventilador de la GPU de una computadora
DiskFiltration: Uso controlado las operaciones de disco duro de lectura / escritura para robar datos a través de ondas de sonido
BitWhisper: exfiltrate datos de los equipos no están en red utilizando las emanaciones de calor
Ataque sin nombre: Utiliza escáneres planos para transmitir órdenes al malware infestados PCs o para exfiltrate datos de sistemas comprometidos
