Sicherheitsgefahr für Air-Gap-Systeme Neue Malware verwandelt Netzteile in Lautsprecher

Gutartiges Hacking einer israelischen Universität weißt auf eine Sicherheitslücke in Air-Gap-Systemen hin.
Gutartiges Hacking einer israelischen Universität weißt auf eine Sicherheitslücke in Air-Gap-Systemen hin.

Air-Gap-basierte Netzwerke und Computer sind vom Internet isoliert und gelten daher als sehr sicher. Isrealische Cybersicherheitsforscher haben jetzt demonstriert, wie Datendiebstahl möglich wird, indem Netzteile in Out-of-Band-Lautsprecher umgewandelt werden.

Der Cybersicherheitsforscher Dr. Mordechai Guri von der Ben-Gurion-Universität des Negev aus Israel hat eine neue Art von Malware demonstriert, mit der hochsensible Daten aus Air-Gap-geschützten Systemen mithilfe eines akustischen Fehlers in Netzteilen und Stromversorgungseinheiten, die mit modernen Computergeräten geliefert werden, heimlich gestohlen werden können.

Air-Gapping meint Luftspalt und ist ein Sicherheitskonzept für Computer und Netzwerke. Air-Gap-Systeme sind weder direkt mit dem Internet verbunden noch mit anderen Einheiten, die mit dem Internet verbunden sind. Physikalisch sind sie vollkommen separiert. Das Air-Gap-Konzept verspricht somit eine sehr hohe Sicherheit und wird vor allem vom Militär, in der Finanzwirtschaft sowie in systemkritischen Bereichen wie Kernkraftwerken, Krankenhäusern oder Stromversorgern genutzt. Die Computer kommunizieren nur innerhalb des Air-Gap-Netzes miteinander, so können Angriffe ausschließlich über direkte Schnittstellen wie etwa USB-Sticks erfolgen.

Die israelischen Wissenschaftler haben die jetzt vorgestellte Malware »PowerSupplay« getauft und über die Plattform thehackernews.com veröffentlicht. Die Forschung baut auf einer Reihe von Techniken auf, bei denen elektromagnetische, akustische, thermische, optische verdeckte Kanäle und sogar Stromkabel genutzt werden, um Daten aus nicht vernetzten Computern herauszufiltern.

»Die Malware kann das Computer-Netzteil (PSU) ausnutzen, um Töne abzuspielen und es als Out-of-Band-Sekundärlautsprecher mit eingeschränkten Fähigkeiten zu verwenden«, erklärt Dr. Guri die Auswirkungen auf die IT-Sicherheit. Dafür manipuliert der bösartige Code die interne Schaltfrequenz des Netzteils und steuert somit die von den Kondensatoren und Transformatoren erzeugten Schallwellenformen. Nach Aussagen des Forschers funktioniert die Technik mit verschiedenen Arten von Systemen wie PC-Workstations und Servern, sowie auch für Embedded Systeme und IoT-Geräte. Auch wenn sie keine Audio-Hardware haben, können binäre Daten moduliert und über akustische Signale ausgesendet werden.

Stromversorgung als Out-of-Band-Lautsprecher

Da Air-Gap-Systeme meist in Umgebungen mit sensiblen Daten verwendet werden, ist bei den betroffenen Geräten die Audio-Hardware in der Regel deaktiviert. So soll verhindert werden, dass potenzielle Eindringlinge eingebauten Lautsprecher und Mikrofone nutzen, um Informationen über Schall- und Ultraschallwellen zu entwenden. Dazu wäre es auch erforderlich, dass sich sowohl die Sende- als auch die Empfangsgeräte in unmittelbarer physischer Nähe zueinander befinden und dass sie mit der entsprechenden Malware infiziert werden, um die Kommunikationsverbindung herzustellen und die Schwachstellen des Zielgeräts ausnutzen. Meist geschieht das über sogenanntes Social Engineering, also die Informationsbeschaffung, Beeinflussung oder Manipulation von Mitarbeitern.

Power Supplay funktioniert auf die gleiche Weise. Die auf einem PC laufende Malware kann das Netzteil des PCs als Out-of-Band-Lautsprecher nutzen, ohne dass eine spezielle Audio-Hardware erforderlich ist. Der Trick besteht darin, den Strom in den Kondensatoren eines Netzteils so zu manipulieren, dass ein "singendes Kondensatorphänomen" ausgelöst wird. Dieses erzeugt akustische Wellen, wenn Strom mit verschiedenen Frequenzen durch den Kondensator fließt. Durch die Steuerung der Netzfrequenzen kann der bösartige Code auch die Schallwellen steuern und somit Daten darin verstecken.

»Diese Technik ermöglicht es, Audio-Streams von einem Computer abzuspielen, auch wenn die Audio-Hardware deaktiviert ist und keine Lautsprecher vorhanden sind«, so Dr. Guri. Er erklärt, dass binäre Daten moduliert und über die akustischen Signale nach außen übertragen werden können. Ein herkömmliches, sich in der Nähe befindendes Handy kann als Empfänger genutzt werden, welcher die Daten demoduliert sowie dekodiert und über das Internet weiter sendet.

Anders ausgedrückt: Die Air-Gap-Malware reguliert die Arbeitslast moderner CPUs, um ihren Stromverbrauch zu kontrollieren, und die Schaltfrequenz des Netzteils, um ein akustisches Signal im Bereich von 0 bis 24 kHz auszusenden und binäre Daten darüber zu modulieren.

Eine Demonstration ist auf You Tube veröffentlicht:
https://www.youtube.com/watch?v=P6ouWK1ArVo

Air-Gap-Bypass und geräteübergreifendes Tracking

Die Malware auf dem angegriffenen Computer sammelt also nicht nur sensible Daten wie Dateien, URLs, Tastatureingaben, Verschlüsselungsschlüssel, sondern überträgt auch Daten im WAV-Format unter Verwendung von akustischen Schallwellen, die von der Stromversorgung des Computers ausgesendet und vom Empfänger - in diesem Fall einer Android-basierten App dekodiert werden. Nach Angaben des Forschers kann ein Angreifer mit einer maximalen Bitrate von 50 Bit/Sek Daten damit auf ein 2,5 Meter entferntes Telefon exfiltrieren. Des Weiteren ermöglicht die Malware ein geräteübergreifendes Tracking, kann also den Surf-Verlauf auf dem angegriffenen System erfassen und die Informationen versenden.

Als Gegenmaßnahme schlägt der Forscher vor, sensible Systeme in Sperrbereiche einzuteilen, in denen Mobiltelefone und andere elektronische Geräte verboten sind. Zusätzlich könnten ein Erkennungssystem zur Überwachung verdächtigen CPU-Verhaltens und die Einrichtung von hardwarebasierten Signaldetektoren und Störsendern ebenfalls zur Verteidigung beitragen.

Die Forschung an Power Supplay soll außerdem in Erinnerung rufen, dass auch isolierte Systeme Ziel von komplexen Angriffen auf die Lieferkette sein können. Der Malware-Code kann aus einem gewöhnlichen Benutzermodus heraus betrieben werden und benötigt weder Hardware-Zugriff noch root-Privilegien. Dr. Guri sagt, dass die vorgeschlagene Methode weder spezielle Systemaufrufe hervorruft noch auf Hardwareressourcen zugreift, wodurch die Angriffe äußerst schwer zu greifen sind.