Các máy tính trong mạng Air Gap được tách biệt khỏi mạng Internet và mạng local, được cho là cách an toàn nhất và rất khó để xâm nhập. Mạng lưới này đã là đối tượng nghiên cứu trong nhiều năm khi các nhà nghiên cứu cố mô tả mọi kịch bản tấn công có thể xảy ra, dẫn tới phá vỡ sự an toàn của những mạng lưới tách biệt này.
Mới đây, các nhà nghiên cứu đến từ đại học Ben Gurion của Israel đã mô tả một vài cách để lấy thông tin nhạy cảm từ các máy tính trong mạng kín này.
Giờ đây, họ lại phát hiện ra một cách khác để đánh cắp thông tin nhạy cảm trên máy tính trong mạng Air Gap - nhờ sự trợ giúp của các camera CCTV hồng ngoại dùng để nhìn ban đêm.
Kịch bản tấn công được gọi là aIR-Jumper gồm một máy tính Air Gap (để đánh cắp dữ liệu từ đó), một mạng CCTV (có ít nhất một CCTV lắp đặt bên trong, trước máy tính Air Gap và một CCTV lắp bên ngoài), giả sử cả hai mạng lưới không kết nối với nhau và không kết nối mạng.
Mô hình truyền tải dữ liệu đánh cắp
Bỏ qua việc máy Air Gap và mạng CCTV bị nhiễm malware, nghiên cứu tập trung vào cách malware chuyển dữ liệu đánh cắp được về cho kẻ tấn công.
Để đọc và gửi dữ liệu, malware aIR-Jumper trên máy Air Gap và mạng CCTV sẽ nhấp nháy đèn IR LED theo một trình tự giống như mật mã để truyền tập tin thành dạng dữ liệu nhị phân 0, 1.
Dữ liệu từ video camera truyền đi với tốc độ 20 bit mỗi giây trên khoảng cách 10 mét và từ kẻ tấn công tới video camera là 100 bit mỗi giây, ngay cả trong bóng tối.
Vì vụ tấn công nhằm đánh cắp tập tin dưới dữ liệu nhị phân nên kẻ tấn công sẽ không thể lấy file lớn, nhưng có thể lấy được mật khẩu, key mã hóa, mã PIN và các dữ liệu nhạy cảm khác trên máy tính.
“Theo kịch bản này, kẻ tấn công đứng ở nơi công cộng, sử dụng IR LED để truyền tín hiệu tới camera giám sát. Dữ liệu nhị phân như tin nhắn từ C&C được mã hóa trên đó”.
Các nhà nghiên cứu cũng đưa ra 2 video minh họa cho 2 kịch bản tấn công.
Video đầu tiên mô tả cách malware cài trên máy tính Air Gap thu thập dữ liệu và chuyển sang dạng nhị phân, sau đó nháy đèn LED. Cùng lúc đó, camera thu lại tín hiệu và malware cài trên đó sẽ chuyển lại đoạn mã sang dạng nhị phân.
Ở video thứ 2, một camera kết nối nội bộ khác được đặt bên ngoài (trong khu đỗ xe) và truyền dữ liệu nhị phân bị đánh cắp tới kẻ tấn công đang ngồi trong ô tô bằng IR LED theo trình tự.
Camera CCTV giống như một cầu nối giữa máy tính Air Gap và kẻ tấn công, như một kênh chuyển hướng.