Onderzoekers van de Ben-Gurion Universiteit hebben malware ontwikkeld die via de lampjes van het toetsenbord data kan stelen van computers die niet met internet verbonden zijn. Het is een bekende beveiligingsmaatregel om systemen met vertrouwelijke data niet op internet aan te sluiten.

Dit wordt ook wel een air-gap genoemd. Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, airconditioning, geluid van de harde schijf, ventilatoren, radiogolven, infraroodcamera’s, scanners, afgegeven warmte, usb-straling, mobiele telefoons, harde schijflampjes, routerlampjes en magnetische velden om de gegevens direct naar de aanvaller of via een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen.

De onderzoekers hebben nu een aanval ontwikkeld genaamd “CTRL-ALT-LED“, waarbij de Caps-Lock, Num-Lock en Scroll-Lock worden gebruikt om data te versturen. De aanval is niet nieuw, want het gebruik van toetsenbordlampjes om data te versturen werd al in 2002 voorgesteld. De onderzoekers wilden echter weten hoe effectief deze methode in de context van moderne cyberaanvallen en optische apparatuur is.

De aanval bestaat uit een zender, de besmette machine, en een ontvanger. Als eerste moet een aanvaller het doelsysteem met malware infecteren. Deze malware gebruikt vervolgens de Caps-Lock, Num-Lock en Scroll-Lock om te stelen data te moduleren en encoderen. Op deze manier wordt er een stroom van LED-signalen verstuurd. De ontvanger is bijvoorbeeld een verborgen of gecompromitteerde beveiligingscamera, een hoge resolutie camera of een gecompromitteerde smartphone die de knipperende lampjes ziet. De aanvaller decodeert vervolgens de LED-signalen en krijgt zo de gestolen data in handen.

Op deze manier is het mogelijk om op een afstand van bijna 10 meter 30 bits per seconde te versturen met een foutratio van minder dan 1 procent. In het geval iemand met een smartwatch of smartphone dichterbij de LED-signalen kan opvangen, is een snelheid van 120 bits per seconde mogelijk. Wanneer er een lichtsensor als ontvanger wordt gebruikt weten de onderzoekers zelfs 3000 bits per seconde te halen.

Om een CTRL-ALT-LED-aanval te voorkomen kunnen organisaties volgens de onderzoekers beleid invoeren waarbij smartphones en smartwatches in gevoelige omgevingen worden verboden. Een andere optie is het uitschakelen van de LED-lampjes of het gebruik van speciale raamfolie. Een andere optie is de LED-lampjes willekeurig te laten knipperen, zodat het signaal van de malware wordt verstoord.

Image

Source