Des chercheurs de l’École de cybersécurité de l’Université de Corée à Séoul ont présenté une nouvelle attaque par canal secret nommée CASPER qui peut divulguer des données d’ordinateurs isolés vers un smartphone à proximité à un débit de 20 bits/s.

L’attaque CASPER exploite les haut-parleurs internes à l’intérieur de l’ordinateur cible comme canal de transmission de données pour transmettre un son haute fréquence que l’oreille humaine ne peut pas entendre et transmettre le code binaire ou Morse à un microphone jusqu’à 1,5 m de distance.

Le microphone de réception peut être dans un smartphone enregistrant le son dans la poche de l’attaquant ou un ordinateur portable dans la même pièce.

Les chercheurs ont déjà développé des attaques similaires utilisant des haut-parleurs externes. Cependant, les systèmes isolés du réseau et isolés du réseau utilisés dans des environnements critiques, tels que les réseaux gouvernementaux, les infrastructures énergétiques et les systèmes de contrôle des armes, sont peu susceptibles d’avoir des haut-parleurs externes.

D’autre part, les haut-parleurs internes qui fournissent un retour audio, tels que les bips de démarrage, sont toujours considérés comme nécessaires, ils sont donc généralement présents, ce qui en fait de meilleurs candidats.

Infecter la cible
Comme c’est le cas avec presque toutes les attaques de canaux secrets ciblant des ordinateurs isolés du réseau, un employé malhonnête ou un intrus furtif ayant un accès physique à la cible doit d’abord l’infecter avec un logiciel malveillant.

Bien que ce scénario puisse sembler peu pratique ou même tiré par les cheveux, il y a eu plusieurs cas d’attaques réussies dans le passé, avec des exemples notables comme le ver Stuxnet, qui ciblait l’installation iranienne d’enrichissement d’uranium à Natanz, le malware Agent.BTZ. qui a infecté une base militaire américaine, et la porte dérobée modulaire Remsec, qui a secrètement collecté des informations à partir de réseaux gouvernementaux isolés pendant plus de cinq ans.

Le logiciel malveillant peut énumérer de manière autonome le système de fichiers de la cible, localiser les fichiers ou les types de fichiers qui correspondent à une liste codée en dur et tenter de les exfiltrer.

De manière plus réaliste, il peut effectuer un enregistrement de frappe, ce qui convient mieux à un débit de transmission de données aussi lent.

Le logiciel malveillant encodera les données à exfiltrer de la cible en code binaire ou Morse et les transmettra via le haut-parleur interne en utilisant une modulation de fréquence, obtenant un ultrason imperceptible dans une plage comprise entre 17 kHz et 20 kHz.

Diagramme d’attaque CASPER (Korea University)

Les résultats
Les chercheurs ont expérimenté le modèle décrit en utilisant un ordinateur basé sur Linux (Ubuntu 20.04) comme cible et un Samsung Galaxy Z Flip 3 comme récepteur, exécutant une application d’enregistrement de base avec une fréquence d’échantillonnage allant jusqu’à 20 kHz.

Dans l’expérience de code Morse, les chercheurs ont fixé la longueur par bit à 100 ms et utilisé 18 kHz pour les points et 19 kHz pour le tiret. Le smartphone était situé à 50 cm de distance et a pu décoder le mot « secret » envoyé.

Dans l’expérience de données binaires, la longueur par bit a été fixée à 50 ms, transférant des zéros à une fréquence de 18 kHz et des 1 à 19 kHz. Un bit de début/fin de 50 ms était également utilisé à 17 kHz pour indiquer le début d’un nouveau message.

Données transmises via des fréquences sonores générées (Korea University)

Sur la base des tests effectués, la distance maximale du récepteur est de 1,5 mètre (4,9 pieds), en utilisant une longueur par bit de 100 ms.

Les résultats globaux de l’expérience montrent cependant que la longueur par bit affecte le taux d’erreur sur les bits et qu’un débit binaire de transmission fiable maximum de 20 bits/s est réalisable lorsque la longueur par bit est de 50 ms.

Calculs du taux d’erreur binaire (Korea University)

À ce taux de transfert de données, le logiciel malveillant pourrait transmettre un mot de passe typique de 8 caractères en 3 secondes environ et une clé RSA de 2048 bits en 100 secondes.

Tout ce qui est au-dessus de cela, comme un petit fichier de 10 Ko, par exemple, nécessiterait plus d’une heure pour s’exfiltrer du système à vide d’air, même si les conditions sont idéales et qu’aucune interruption ne se produit pendant la transmission.

« Notre méthode est plus lente à transférer des données par rapport à d’autres technologies de canaux secrets utilisant des méthodes optiques ou des méthodes électromagnétiques car la vitesse de transfert des données par le son est limitée. » – Université de Corée.
Une solution au débit de données lent serait de faire varier la bande de fréquence pour plusieurs transmissions simultanées; cependant, les haut-parleurs internes ne peuvent produire du son que dans une seule bande de fréquences, de sorte que l’attaque est pratiquement limitée.

Les chercheurs ont partagé des moyens de se défendre contre l’attaque CASPER, le plus simple étant de supprimer le haut-parleur interne des ordinateurs critiques.

Si cela est impossible, les défenseurs pourraient implémenter un filtre passe-haut pour maintenir toutes les fréquences générées dans le spectre sonore audible, bloquant les transmissions ultrasonores.

Si vous êtes intéressé par d’autres attaques de canaux secrets contre des systèmes isolés, consultez COVID-bit, qui utilise le bloc d’alimentation pour générer des ondes électromagnétiques qui transportent des données.

D’autres exemples d’attaques similaires sont ETHERLED, qui s’appuie sur les lumières LED de la carte réseau de la cible pour transmettre des signaux de code Morse, et une nommée SATAn, qui utilise des câbles SATA comme antennes sans fil.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *