MAGNETO y ODINI (anatomía de un ataque imposible)

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS

Una vez que un atacante motivado de alguna manera logró plantar malware en una computadora con trampas de aire, el malware luego recopiló pequeñas piezas de información, como datos de captura de teclas, claves de cifrado, tokens de credenciales y contraseñas.

El malware PoC desarrollado por el equipo genera luego eléctricamente un patrón de frecuencias de campo magnético mediante la regulación de la carga de trabajo de la CPU, que se puede lograr al sobrecargar la CPU con cálculos que aumentan el consumo de energía y generan un campo magnético más potente.

Estas emisiones electromagnéticas (acústicas, ópticas y térmicas) de la computadora infectada son lo suficientemente potentes como para llevar una pequeña corriente de datos robados a un dispositivo cercano, un receptor plantado por el pirata informático.

El proceso implica traducir datos primero en binarios, es decir, 0 y 1, y transmitirlos en patrones tipo código morse de acuerdo con la emisión electromagnética.

“El programa de transmisión deja solo un espacio pequeño en la memoria, lo que hace que su presencia sea más fácil de ocultar de los AV. En el nivel de sistema operativo, el programa de transmisión no requiere privilegios especiales o elevados (por ejemplo, raíz o administrador) y, por lo tanto, puede iniciarse desde un proceso de espacio de usuario ordinario “, dice el documento.

“El código de transmisión consiste principalmente en operaciones básicas de CPU, como bucles de ocupado, que no exponen comportamientos maliciosos, lo que lo hace altamente evasivo con las herramientas de análisis automatizadas”.

Leer también: Robando datos de computadoras con espacio de aire usando cámaras CCTV

Si bien los ataques MAGNETO y ODINI están diseñados para filtrar datos de una computadora segura que usa emisiones electromagnéticas, la única diferencia entre los dos es la siguiente:

MAGNETO es un ataque de corta distancia donde una aplicación de Android instalada en el teléfono inteligente del atacante puede recibir datos robados con la ayuda del magnetómetro del teléfono, un sensor magnético que puede transmitir datos incluso si el teléfono inteligente se coloca dentro de una bolsa de Faraday o se configura en modo avión.

El ataque ODINI permite a los atacantes capturar señales electromagnéticas desde un rango ligeramente más largo usando un sensor magnético dedicado.

En el caso de MAGNETO, el equipo logró alcanzar solo hasta 5 bits / seg en una distancia de hasta 12.5 cm (5 pulgadas), mientras que ODINI es bastante más eficiente, con una tasa máxima de transferencia de 40 bits / seg en un rango de 100 a 150 cm (3-5 pies).

 

Por Facundo Rojo Gil, CISA,CISM, Director General – VINTEGRIS