Nuevas Técnicas De Exfiltración De Datos En Sistemas Aislados, PixHELL Y RAMBO

En el campo de la ciberseguridad, los sistemas «air-gapped« han sido considerados durante mucho tiempo una de las defensas más efectivas para proteger información crítica. Estos sistemas están físicamente aislados de redes externas, haciéndolos virtualmente inaccesibles a ataques remotos. Sin embargo, dos nuevos métodos de exfiltración de datos han demostrado que, incluso en entornos air-gapped, la información no está completamente a salvo. Las técnicas denominadas PixHELL y RAMBO explotan vulnerabilidades o caracteristicas únicas en hardware para extraer datos de manera ingeniosa.

Exfiltración de datos a través de pantallas: PixHELL

El ataque PixHELL, descubierto por un equipo de investigadores de ciberseguridad, explota las señales electromagnéticas emitidas por las pantallas LCD. Los sistemas air-gapped suelen usar monitores para la supervisión local de la actividad, y estas pantallas emiten señales electromagnéticas mientras representan la información visual. Mediante la manipulación de imágenes que contienen datos sensibles en la pantalla, los atacantes pueden generar patrones específicos de emisiones electromagnéticas que son capturados por un receptor especializado a corta distancia. Esencialmente, PixHELL convierte la pantalla en un dispositivo de transmisión de datos involuntario.

PIXHELL Attack: Leaking Sensitive Information from Air-Gap Computers via ‘Singing Pixels’

El proceso implica la alteración de los gráficos visualizados en la pantalla del dispositivo aislado, codificando datos binarios en los patrones de los píxeles. Estas alteraciones pueden ser imperceptibles para el ojo humano, pero generan variaciones en las señales electromagnéticas que pueden ser decodificadas. Esto permite a los atacantes extraer datos sensibles sin necesidad de acceso directo al dispositivo o red.

RAMBO: Señales de radio a través de la memoria RAM

El segundo método, conocido como RAMBO (Random Access Memory Based Oscillations), aprovecha las emisiones de radiofrecuencia generadas por la actividad en la memoria RAM del sistema. Este ataque demuestra que el funcionamiento regular de los chips de memoria DRAM produce pequeñas emisiones de radiofrecuencia que pueden ser captadas y traducidas en datos legibles.

RAMBO: Leaking Secrets from Air-Gap Computers by Spelling Covert Radio Signals from Computer RAM

En este ataque, los ciberdelincuentes manipulan los patrones de acceso a la RAM para producir señales específicas que representan datos codificados. Al modificar el acceso a los bancos de memoria, se pueden generar señales RF que llevan información. Un receptor a cierta distancia puede capturar estas emisiones y reconstruir los datos que se encuentran en la memoria del sistema, incluso si está físicamente aislado.

Implicaciones de Seguridad

Tanto PixHELL como RAMBO demuestran que las emisiones electromagnéticas y de radiofrecuencia de los componentes de hardware pueden ser aprovechadas para violar la seguridad de los sistemas aislados. Estos ataques, aunque complejos y limitados por la necesidad de proximidad física, muestran que incluso los entornos más seguros no son inmunes a la fuga de datos. Las investigaciones sobre este tipo de técnicas no solo desafían nuestras ideas sobre la seguridad de los sistemas aislados, sino que también subrayan la importancia de adoptar medidas adicionales, como el blindaje electromagnético y el uso de tecnologías que minimicen las emisiones de los dispositivos.

Además de estas nuevas publicaciones, reputados investigadores como el Dr. Mordechai Guri han desarrollado varias técnicas innovadoras para extraer datos de sistemas air-gapped utilizando métodos poco convencionales. Entre ellos se encuentra el ataque SATAn, que explota los cables Serial ATA como antenas para transmitir señales de radio, y GAIROSCOPE, que utiliza los giroscopios MEMS para enviar información sensible mediante las vibraciones del dispositivo. También se han ideado ataques como ETHERLED, que manipula los LEDs de las tarjetas de red para transmitir datos a través de señales luminosas imperceptibles, y COVID-bit, que aprovecha el consumo de energía dinámica para generar emisiones electromagnéticas que filtran información confidencial. Estos métodos subrayan cómo los componentes físicos de los dispositivos pueden ser aprovechados para crear canales de comunicación encubiertos.

Otra serie de ataques, como GPU-FAN y EL-GRILLO, emplean señales acústicas generadas por los ventiladores de las GPU o los zumbadores de las placas base para transmitir información mediante ondas sonoras o ultrasónicas. Incluso los paneles de las impresoras y los LEDs de estado, como en el ataque PrinterLeak, han sido utilizados para filtrar datos. El ataque AirKeyLogger, por su parte, demuestra cómo las emisiones de radiofrecuencia de una fuente de alimentación pueden ser manipuladas para registrar pulsaciones de teclas en tiempo real, transmitiendo la información a un atacante a metros de distancia. Estas técnicas requieren que el sistema air-gapped haya sido previamente comprometido, a menudo a través de insiders, dispositivos USB infectados o ataques a la cadena de suministro, lo que permite al malware activar estos canales de exfiltración.

A medida que las técnicas de exfiltración de datos avanzan, los profesionales de la ciberseguridad deben estar atentos a los métodos que explotan el hardware de formas insospechadas. Estos ataques representan una nueva frontera en la extracción de información de sistemas air-gapped, lo que pone en relieve la necesidad de medidas de protección más robustas y sofisticadas para defender los datos más sensibles. Las publicaciones abajo añadidas son lectura más que recomendada si te has quedado con ganas de saber más sobre estas investigaciones.

Más información: