Une nouvelle méthode conçue pour divulguer des informations et sauter par-dessus les vides d’air tire parti des câbles Serial Advanced Technology Attachment (SATA) ou Serial ATA comme moyen de communication, s’ajoutant à une longue liste de méthodes électromagnétiques, magnétiques, électriques, optiques et acoustiques déjà démontré pour piller les données. « Bien que les ordinateurs à intervalle d’air n’aient pas de connectivité sans fil, nous montrons que les attaquants peuvent utiliser le câble SATA comme antenne sans fil pour transférer des signaux radio sur la bande de fréquence 6 GHz », a déclaré le Dr Mordechai Guri, responsable de la R&D au Centre de recherche sur la cybersécurité. à l’Université Ben Gourion du Néguev en Israël, a écrit dans un article publié la semaine dernière. La technique, baptisée SATAn, tire parti de la prévalence de l’interface de bus informatique, la rendant « hautement disponible pour les attaquants dans un large éventail de systèmes informatiques et d’environnements informatiques ». En termes simples, l’objectif est d’utiliser le câble SATA comme canal secret pour émettre des signaux électromagnétiques et transférer sans fil une brève quantité d’informations sensibles d’ordinateurs hautement sécurisés et isolés vers un récepteur proche à plus d’un mètre. Un réseau isolé est un réseau physiquement isolé de tout autre réseau afin d’augmenter sa sécurité. L’espace d’air est considéré comme un mécanisme essentiel pour protéger les systèmes de grande valeur qui intéressent énormément les acteurs de la menace motivés par l’espionnage. Cela dit, les attaques ciblant les systèmes critiques de contrôle de mission ont augmenté en nombre et en sophistication ces dernières années, comme on l’a observé récemment dans le cas d’Industroyer 2 et de PIPEDREAM (alias INCONTROLLER). Le Dr Guri n’est pas étranger à l’idée de proposer de nouvelles techniques pour extraire des données sensibles de réseaux hors ligne, le chercheur concoctant quatre approches différentes depuis le début de 2020 qui exploitent divers canaux secondaires pour siphonner subrepticement des informations.

Ceux-ci incluent BRIGHTNESS (luminosité de l’écran LCD), POWER-SUPPLaY (bloc d’alimentation), AIR-FI (signaux Wi-Fi) et LANtenna (câbles Ethernet). La dernière approche n’est pas différente, dans laquelle elle tire parti du câble Serial ATA pour atteindre les mêmes objectifs. Serial ATA est une interface de bus et une norme IDE (Integrated Drive Electronics) utilisée pour transférer des données à des débits plus élevés vers des périphériques de stockage de masse. L’une de ses principales utilisations consiste à connecter des disques durs (HDD), des disques SSD et des lecteurs optiques (CD/DVD) à la carte mère de l’ordinateur. Contrairement à la violation d’un réseau traditionnel au moyen de harponnage ou de trous d’eau, compromettre un réseau isolé nécessite des stratégies plus complexes telles qu’une attaque de la chaîne d’approvisionnement, en utilisant des supports amovibles (par exemple, USBStealer et USBFerry), ou des initiés voyous pour planter des logiciels malveillants. Pour un adversaire dont le but est de voler des informations confidentielles, des données financières et de la propriété intellectuelle, la pénétration initiale n’est que le début de la chaîne d’attaque qui est suivie d’une reconnaissance, d’une collecte de données et d’une exfiltration de données via des postes de travail contenant des interfaces SATA actives. Dans la phase finale de réception des données, les données transmises sont capturées via un récepteur caché ou reposent sur un initié malveillant dans une organisation pour transporter un récepteur radio à proximité du système isolé. « Le récepteur surveille le spectre 6 GHz pour une transmission potentielle, démodule les données, les décode et les envoie à l’attaquant », a expliqué le Dr Guri. Comme contre-mesures, il est recommandé de prendre des mesures pour empêcher l’auteur de la menace de s’implanter, d’utiliser un système de surveillance des radiofréquences (RF) externe pour détecter les anomalies dans la bande de fréquences 6 GHz à partir du système isolé, ou de polluer la transmission avec opérations de lecture et d’écriture aléatoires lorsqu’une activité de canal secret suspecte est détectée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *