Ricercatori israeliani mettono a punto un nuovo malware in grado di infettare router e switch e trafugare così i dati di navigazione degli utenti
Non solo air gap. Anche se le reti (teoricamente) inaccessibili sembrano essere l’obiettivo primario degli hacker di mezzo mondo, molti ricercatori di sicurezza informatica dedicano tempo e risorse anche allo studio di metodi di attacco “alternativi” e in grado di interessare anche “normali” utenti connessi alla Rete. Si guardi, ad esempio, al lavoro condotto dagli esperti del Cyber Security Research Center della “Ben-Gurion University of the Negev” in Israele. Già autori di diversi dispositivi per trafugare dati da reti air gap (come il PITA, ad esempio), gli studiosi israeliani hanno messo a punto un nuovo metodo d’attacco che coinvolge router e switch.
La minaccia non riguarda solamente grandi uffici o poli produttivi, ma potrebbe essere utilizzata anche per spiare e tenere sotto controllo le attività online di un internauta qualsiasi. L’attacco, infatti, riguarda indifferentemente gli apparati di rete in grado di gestire migliaia di connessioni al secondo e i piccoli router o switch che si hanno in casa per gestire la LAN domestica.
Nella prima metà di giugno 2017 i ricercatori della Ben Gurion University hanno reso noto i risultati della loro ultima ricerca. Si tratta di un malware progettato per infettare router e switch LAN e capace di “tradurre” il traffico di rete in una sorta di sinfonia luminosa orchestrata dai LED di stato dei due apparati di rete. Tramite xLED (questo il nome del malware realizzato dai ricercatori israeliani) è possibile trafugare dati e informazioni riguardanti le nostre abitudini di navigazione e i portali visitati senza che possiamo rendercene conto o addirittura nutrire il minimo sospetto.
Come funziona il malware che spia i LED dei router
Una volta infettato un apparato di rete, xLED agisce in due direzioni: da un lato intercetta, analizza e “traduce” i dati riguardanti il traffico di rete; dall’altro lato prende il controllo del sistema di notifica dei LED di stato (quei punti luminosi che si accendono e spengono in rapida successione ogniqualvolta siamo connessi alla rete, per intenderci) e utilizza le lucine del router per comunicare a distanza con chiunque sia in “ascolto”. I dati di navigazione sono infatti scomposti in bit e successivamente “riprodotti” con i LED: la lucina accesa rappresenterà l’1 binario, quella spenta rappresenterà di contro lo 0 binario.
L’attività dei LED potrà essere registrata a distanza dagli hacker per mezzo di telecamere e videocamere di ogni genere (dalle telecamere di sicurezza a droni in volo, passando per videocamere nascoste, webcam e ogni altro dispositivo di registrazione immaginabile) e successivamente “ricostruita” da un computer opportunamente programmato allo scopo. Un sistema del genere è in grado di trafugare fino a 1 kilobit di informazioni al secondo (1.000 bit) a patto che le immagini siano registrate da un dispositivo “adeguato”. Secondo i ricercatori dell’università israeliana è consigliabile utilizzare videocamere dotate di sensore ottico, in grado di registrare un numero più elevato di frame al secondo così da non perdere nemmeno un singolo bit/lampeggio del router.
Inoltre, i ricercatori della Ben Gurion University hanno dimostrato che ogni singolo LED di attività può essere sfruttato dal malware per trafugare informazioni dalla rete o dal sistema informatico. Ciò vuol dire, ad esempio, che uno switch LAN con 16 porte Ethernet (e altrettanti LED di stato) può consentire all’hacker di sottrarre fino a 2 kylobyte di informazioni al secondo (equivalenti a 16 kilobit/s).
Pro e contro dell’attacco al router
Il vantaggio immediato che xLED offre a un potenziale hacker è quello della segretezza e della scarsa probabilità di essere scoperto. I LED di stato dei router lampeggiano in continuazione per segnalare all’utente il loro funzionamento e il loro essere attivi: nel caso siano sfruttati per operazioni criminose, difficilmente qualcuno potrà accorgersene.
Allo stesso tempo, però, xLED ha bisogno di infettare il router per poter essere utilizzato. Come fanno notare diversi ricercatori di sicurezza informatica, se qualcuno riesce a introdursi in un router o switch di rete può comunicare con un server remoto in maniera molto più efficiente di una telecamera che registra l’attività di una “lucina”. Insomma, il malware messo a punto dai ricercatori israeliani potrebbe essere paragonato a un “esercizio di stile” più che a un effettivo metodo di attacco a sistemi informatici.