Onderzoekers laten malware via infraroodcamera communiceren

[Captain Kirk]

Onderzoekers van de Israëlische Ben-Gurion Universiteit hebben een nieuwe manier ontwikkeld om met besmette systemen te communiceren die niet op internet zijn aangesloten, namelijk het gebruik van beveiligingscamera's met infrarood. De onderzoekers ontwikkelden een malware-prototype genaamd aIR-Jumper (pdf) die via een infraroodcamera zowel data kan versturen als nieuwe opdrachten kan krijgen.

Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten, ook wel een air-gap genaamd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes en routerlampjes om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen.

AIR-Jumper introduceert een nieuw communicatiekanaal, namelijk beveiligingscamera's met infrarood. Een aanvaller moet eerst een computer binnen organisatie zien te infecteren. Vervolgens moeten beveiligingscamera's in de organisatie worden overgenomen. Hierna kan de malware wachtwoorden, encryptiesleutels en andere gevoelige data moduleren, encoderen en via de infraroodled's versturen. Een aanvaller die zicht op de beveiligingscamera's heeft kan deze signalen opvangen en decoderen.

Een andere mogelijkheid is om de malware via de beveiligingscamera's te bedienen. De aanvaller stuurt in dit geval opdrachten via infraroodsignalen naar de camera's. De signalen in de videostream die de camera's hebben opgenomen worden door de malware op het netwerk onderschept en gedecodeerd. Het exfiltreren en infiltreren kan worden gecombineerd om een 'air-gapped' communicatiekanaal tussen het gehackte netwerk en de aanvaller op te zetten, zo laten de onderzoekers weten.

 

 

bron: security.nl