LANtenna Attack, usan cables de red para crear señales inalámbricas y robar datos

A nivel doméstico y empresarial es mucho más seguro utilizar cables de red Ethernet que conectividad WiFi, por este motivo, todos los servidores y ordenadores que mueven información sensible, hacen uso de cable de red para conectarse a un switch, el cual está correctamente configurado para evitar o mitigar los principales ataques a las redes, y evitar el robo de información. Un grupo de investigadores ha descubierto la forma de crear señales inalámbricas a través de un cable de red Ethernet, con el objetivo de robar información, este nuevo ataque se llama LANtenna Attack.

¿Qué es el ataque LANtenna Attack?

Este ataque consiste en un mecanismo para exfiltrar datos que emplea los cables de red Ethernet como una antena de transmisión, de esta forma, se puede enviar información a un receptor. Por supuesto, esta antena de transmisión es capaz de desviar información altamente confidencial que viaja por el cable de red Ethernet al receptor, con el objetivo de robar información muy valiosa. Generalmente se utilizan los cables de red para protegernos frente ataques inalámbricos, pero con este ataque lo que vino a solucionar el problema «del aire», hace que se convierta en la pieza fundamental del ataque.

Esta técnica de exfiltración de datos muy novedosa, permite que el código malicioso en ordenadores acumule datos confidenciales que posteriormente se quieren exfiltrar o enviar a un receptor, para posteriormente codificarlos a través de ondas de radio usando como antena los cables de red Ethernet. El código malicioso se puede ejecutar en un proceso en modo de usuario normal, no es necesario permisos de administrador, además, también podría operar con éxito dentro de una máquina virtual. Las señales de radio transmitidas pueden ser interceptadas por un receptor de radio definido por software (SDR) cercano y de forma totalmente inalámbrica, lógicamente este sistema no tiene demasiado alcance, pero sí el suficiente para poner en riesgo la información sensible y confidencial de los ordenadores de trabajo. El receptor deberá estar cerca, a unos 2 metros de distancia del emisor, para poder capturar toda la información y decodificarla.

Velocidad por Wi-Fi y cable

Todo el proceso de exfiltración de datos se realiza con cualquier interfaz inalámbrica desactivada o eliminada físicamente, es decir, no hay ningún emisor nativo. Este mismo investigador de seguridad ya demostró formas muy poco convencionales de filtrar datos confidenciales de ordenadores, como cuando diseñó un método que emplea pequeños cambios en el brillo de una pantalla LCD, o cuando demostró cómo un malware podía usar la fuente de alimentación de un PC para reproducir sonidos y usarlo como «altavoz» secundario fuera de banda. Por último, este mismo investigador también fue capaz de aprovechar las señales WiFi como un canal encubierto para exfiltrar información confidencial sin requerir la presencia de hardware WiFi en el ordenador objetivo.

Funcionamiento de este ataque

Para poder realizar este ataque es necesario usar un malware en el ordenador objetivo con espacio de aire, para inducir al cable de red Ethernet a generar emisiones electromagnéticas en las bandas de frecuencia de 125MHz que luego son moduladas e interceptadas por el receptor cercano. En las pruebas realizadas por este investigador, se comprobó que se puede enviar información a una distancia de unos 2 metros aproximadamente, más que suficiente para robar una gran cantidad de información de forma pasiva.

En el siguiente vídeo se puede ver una demostración del funcionamiento de esta técnica de exfiltración de datos:

Por supuesto, igual que ocurre con otros ataques de este estilo, es necesario infectar el ordenador de la víctima en la red de destino, a través de cualquier vector: un pendrive, un email usando ingeniería social o directamente infectar los pendrives desde su fabricación con el objetivo de realizar espionaje a mayor escala.

¿Cómo puedo evitar este ataque?

Los investigadores de seguridad han propuesto algunas recomendaciones para evitar o mitigar este ataque, lo primero es prohibir el uso de receptores de radio en los alrededores de la red, y por supuesto, monitorizar la actividad de la capa de enlace de la tarjeta de red que tengamos para evitar canales encubiertos. También se pueden bloquear las señales usando blindaje metálico para limitar la interferencia de los campos electromagnéticos que se producen en los cables de red.

Aunque una distancia de 2 metros pueda parecer muy poco, los investigadores han indicado que con antenas dedicadas y costosas podrían tener una mayor distancia, y podrían alcanzar fácilmente las decenas de metros con algunos cables, por tanto, este ataque podría poner en jaque a cualquier empresa que no se tome la seguridad como pieza fundamental. Teniendo en cuenta que es necesario infectar un ordenador con un malware, es muy necesario vigilar qué se puede instalar en los ordenadores corporativos, con el objetivo de minimizar al máximo que un atacante pueda infectarnos.

Os recomendamos leer el paper sobre LANtenna attack donde encontraréis todos los detalles técnicos.

¡Sé el primero en comentar!