ETHERLED エアギャップ攻撃:ネットワークボードの LED 点滅から機密情報を抽出

ETHERLED: Air-gapped systems leak data via network card LEDs

2022/08/23 BleepingComputer — イスラエルの研究者である Mordechai Guri は、ネットワークカード上のLEDインジケータを使用して、エアギャップ・システムからデータを取得する新しい方法を発見した。この、 ETHERLED と名付けられた方法は、点滅するライトをモールス信号にして、攻撃者が解読できるようにするものだ。

この信号を捕捉するには、エアギャップされたコンピュータにインストールされた、ネットワーク・カード上の LED ライトを、ダイレクトに参照するカメラが必要となる。これをバイナリデータに変換すれば、情報を盗み出すことができるという。

ETHERLED attack diagram (arxiv.org)

エアギャップ・システムとは、セキュリティ上の理由によりパブリックなインターネットから隔離された、機密性の高い環境 (重要インフラ/兵器制御装置など) に設置されるコンピュータのことである。

しかし、こうしたシステムであっても、エアギャップ・ネットワーク上で動作するため、やはりネットワーク・カードは使用されることになる。Mordechai Guri は、システムが特殊なマルウェアに感染すると、侵入者によりカード・ドライバーの LED の色と点滅周波数が変更され、暗号化されたデータの検出が可能なことを発見した。

ETHERLED の手法は、ルーター/NAS/プリンター/スキャナーといった、ステータスや動作の指標として LED を使用する、その他の周辺機器やハードウェアでも機能する。

これまで公開されてきた、キーボードやモデムの LED を制御する、光発散に基づくデータ抽出手法と比較すると、ETHERLED はスティルス性の高いアプローチであり、疑いを持たれる可能性は低くなる。

ETHERLEDの詳細

この攻撃は、ネットワーク・カードのファームウェアなどを標的にして、マルウェアを仕掛けることから始まる。それにより、LED の点滅頻度/点滅時間/色などを制御できるようになる。

Code to control LED indicators
Code to control LED indicators (arxiv.org)


また、この種のマルウェアは、NIC (Network Interface Controller) 用のドライバーをダイレクトに攻撃して、接続状態の変更や、信号の生成に必要な LED を、変調ることも可能だ。

The three potential attack methods
The three potential attack methods (arxiv.org)

Mordechai Guri は、文書化/非文書化のハードウェア機能を、悪意のドラーバーが攻撃することで、ネットワーク接続速度の変更や、イーサネット・インターフェースの有効化/無効化、光の点滅や色の変化を引き起こすことが可能だとしている。

Network card indicators lighting up at the back of computers
Network card indicators lighting up to convey signals (arxiv.org)

Guri のテストによると、各データ・フレームは、パッケージの開始を示す “1010” のシーケンスで始まり、その後に 64-Bit のペイロードが続くという。

Signal packets
Signal contents (arxiv.org)

ステータス LED を用いたデータ抽出のために、100ms〜300ms のモールス信号のドットとダッシュを生成し、100ms〜700ms のインジケータ無効化スペースで区切ってみる。

モールス信号のビットレートは、ドライバ/ファームウェアの攻撃方法を用いる場合には、最大で 10倍 (10mドット/30mダッシュ/10-70ms スペース) に増加できる。

こうした信号を遠隔で捕捉する脅威アクターは、スマートフォンのカメラ (30m 以内)、ドローン (50m 以内)、ハッキングした Web カメラ (10m)、ハッキングした監視カメラ (30m)、望遠鏡や超望遠ズームカメラ (100m以上) などを使うことができる。

ETHERLED によるパスワード抽出などに要する時間は、使用する攻撃方法に応じて 1秒〜1.5分であり、Bitcoin の秘密鍵は 2.5秒〜4.2分、4096 Bit の RSA 鍵は 42秒〜1時間となる。

Times required to transmit secrets
Times required to transmit secrets (arxiv.org)

その他の流出経路

Mordechai Guri は、GAIROSCOPE に関する論文も発表している。それは、6メートル以内に存在する、スマートフォンのジャイロセンサーにより捉えられた、ターゲットシステムの共振周波数の生成に依存する、エアギャップ・システムに対する攻撃である。

この7月には、彼は SATAn 攻撃も発表している。それは、コンピュータ内部の SATA ケーブルをアンテナとして使用し、データを運ぶ電磁波を発生させて、1.2 メートル以内に存在するラップトップで捕捉する攻撃である。

Mordechai Guri 博士のエアギャップ秘匿チャネル手法の全集は、Ben-Gurion University of the Negev の Web サイトの、専用セクションで参照できる。

世の中には、スゴイことを考えつく人がいるものです。とは言え、文中には「キーボードやモデムの LED を制御する、光発散に基づくデータ抽出手法と比較すると、ETHERLED はスティルス性の高いアプローチであり、疑いを持たれる可能性は低くなる」という記述があるくらいなので、光の発散を狙う攻撃方法は、他にもあるということなのでしょう。8月18日の「Amazon Ring for Android の脆弱性が FIX:画像の不正アクセスから機械学習への連鎖」と組み合わせて考えると、かなり怖いことを想像してしまいます。この、Mordechai Guri さんの研究ですが、とても大事なことです。

%d bloggers like this: