samedi, novembre 30, 2024

Devilish SATAn Hack transforme le câble du lecteur en antenne pour voler des données

(Crédit image : Université Ben Gourion du Néguev, Israël)

Les chercheurs ont révélé aujourd’hui une nouvelle attaque « SATAn » qui peut transformer un câble SATA en émetteur radio, permettant ainsi à un pirate d’exfiltrer des données d’un système qui n’est pas connecté à un réseau et de les transmettre à un récepteur à 1 mètre de distance – le tout sans physiquement modifier le câble ou le matériel SATA. La technique logicielle peut fonctionner à partir de l’espace utilisateur ou via une machine virtuelle (VM), et vous pouvez voir une courte démonstration dans la vidéo intégrée ci-dessous.

La connexion SATA omniprésente est utilisée dans des milliards d’appareils dans le monde pour connecter des disques durs et des SSD à l’intérieur d’un PC, ce qui en fait la cible idéale pour les pirates à la recherche d’une attaque sophistiquée avec une large empreinte.

Certaines des données les plus sensibles de la planète sont stockées dans des systèmes isolés. Ces systèmes sont entièrement isolés de toute connexion au monde extérieur, comme un réseau ou Internet, et ne disposent pas non plus de matériel capable de communiquer sans fil, comme le matériel sans fil Bluetooth ou Wi-Fi. A ce titre, il nécessite des techniques ultra-sophistiquées pour leur voler des données. Le chercheur Mordechai Guri de l’Université du Néguev, en Israël, a accompli l’exploit en convertissant un câble SATA standard en émetteur radio, mais sans réellement apporter de modifications physiques au matériel.

Comme avec toutes les interfaces informatiques, le bus SATA génère des interférences électromagnétiques pendant le fonctionnement normal et, s’il est utilisé correctement, ces interférences peuvent être manipulées puis utilisées pour transmettre des données. Dans ce cas, le chercheur a utilisé le câble SATA comme une antenne sans fil qui fonctionnait sur la bande de fréquence 6 GHz, transmettant ainsi un court message à l’ordinateur portable à proximité. Cette attaque peut être utilisée de concert avec des enregistreurs de frappe pour voler des mots de passe ou d’autres données sensibles. De même, les attaquants peuvent utiliser d’autres mécanismes pour voler des données importantes, comme des fichiers et des images.

Naturellement, l’attaquant devrait d’abord installer un logiciel malveillant sur la machine ciblée, mais comme nous l’avons vu avec Stuxnet et d’autres attaques, les périphériques USB contenant du code malveillant peuvent propager des logiciels malveillants à l’intérieur des systèmes protégés. Sinon, l’attaquant aurait besoin d’un accès physique pour installer la charge utile de l’attaque.

Une fois installé, le logiciel malveillant encode d’abord les données à voler. Ensuite, il effectue certains types d’accès au système de fichiers, comme les lectures et les écritures, de manière contrôlée pour générer un signal sur le câble. Alors que les opérations de lecture ou d’écriture peuvent créer efficacement les signaux corrects, le chercheur note que les opérations de lecture ne nécessitent généralement pas d’autorisations plus élevées au niveau du système et génèrent des signaux plus forts (jusqu’à 3 dB) que les opérations d’écriture. Les chercheurs ont également noté que les opérations en arrière-plan qui entraînent un autre trafic vers le périphérique de stockage sont généralement correctes. Néanmoins, une activité de conduite intense peut brouiller les transmissions, il est donc préférable de mettre en pause ou d’arrêter la transmission lorsque des activités de fond intenses se produisent.

Source-138

- Advertisement -

Latest