LEDs de rede podem vazar dados de sistemas desconectados da internet

Os sistemas isolados da internet são os preferidos para tarefas de backup e armazenamento de arquivos sensíveis, por não estarem suscetíveis a ataques remotos mesmo que tenham vulnerabilidades. Ou nem tanto assim, com um novo método de exploração utilizando os LEDs de placas de rede como uma forma de extrair informações de servidores desse tipo.

• Os 5 métodos de ataque cibernético em que você precisa ficar de olho
• Contas abandonadas são usadas para burlar autenticação em duas etapas

Na prova de conceito exibida pelo pesquisador em segurança Mordechai Guri, da Universidade Bem-Gurion do Neguev, em Israel, as luzes indicativas se transformam em transmissores de código Morse para envio de dados binários. Basta que alguém tenha uma câmera e visão do equipamento para que a exploração aconteça, após uma infecção inicial por malware desenhado especificamente para esse fim.

Parece uma ideia saída de um filme de espionagem, mas é justamente o tipo de ataque altamente sofisticado e direcionado a que estão suscetíveis sistemas sensíveis de agências governamentais, grandes empresas, telecoms e outras companhias de infraestrutura. A praga desenvolvida para esse fim também poderia alternar as cores dos LEDs ou até exibir comportamentos específicos, como alterações na velocidade de conexão à rede ou o desligamento de portas, falsificando problemas.

A ideia é vazar elementos mais básicos, mas que possam levar a ataques maiores, como senhas ou chaves de criptografia. É também um ataque rápido, com os LEDs levando até 1,5 minuto para expor uma credencial ou 4,2 minutos para enviar os códigos correspondentes a uma chave de carteira de criptomoeda. Nos testes, o pesquisador foi capaz de captar os códigos usando desde celulares até câmeras de segurança comprometidas, com distâncias a partir de 10 metros do dispositivo comprometido.

O método foi batizado por Guri como ETHERLED e testado em servidores, mas de acordo com o especialista, pode funcionar com basicamente qualquer dispositivo que tenha um LED indicativo de status. Isso significa que aparelhos desde impressoras e roteadores até grandes data centers podem estar suscetíveis, desde que, claro, o atacante conheça o sistema, desenvolva um malware específico para o aparelho e, no caso de sistemas desconectados, consiga implantar a praga de alguma maneira.

O segredo está na alteração da programação do firmware dos aparelhos, que também pode envolver a manipulação de controladores para modular os LEDs que enviam os sinais. É, como dito, uma etapa inicial de uma campanha maior de ataques, altamente sofisticada e focada em organizações específicas e sem método conhecido de mitigação além do cuidado com quem tem acesso aos sistemas, já que as luzes indicativas são essenciais para o bom funcionamento e tarefas de manutenção deles.

Nem offline estamos seguros de vazamento de dados

Guri também foi responsável por outro ataque semelhante revelado recentemente, o SATAn, no qual cabos SATA conectados a servidores foram usados como transmissores eletromagnéticos para vazar dados. Aqui, estamos falando de uma exploração mais próxima, com as informações podendo ser captadas até, no máximo, 1,2 metro de distância.

O ataque ETHERLED também lembra outro desenvolvido por pesquisadores da mesma universidade israelense. Em 2021, eles demonstraram como a vibração sonora e o consumo de energia por caixas de som geram alterações sensíveis no LED indicativo destes aparelhos, com a movimentação também podendo ser capturada por fotodiodos para expor conversas que estejam acontecem em viva-voz, como uma reunião com participantes remotos.

Em todos os casos, se tratam de provas de conceito, o que significa que não foram registrados ataques envolvendo estes métodos de espionagem. Ainda assim, a possibilidade existe, levantando alertas quanto à segurança física dos dispositivos, principalmente para organizações que lidam com informações sensíveis e dados sigilosos.

Fonte: Universidade Ben-Gurion do Neguev