Air-Gapped Συστήματα: Μια Σημαντική Ασφάλεια ή Ένας Ψευδής Αισθηματισμός; - CSIi

Γράφει ο Δήμος Σαμαράς

Στην εποχή της πληροφορίας, η ασφάλεια δεδομένων έχει γίνει αναμφισβήτητα ένα από τα πιο κρίσιμα ζητήματα για οργανισμούς, κυβερνήσεις και ατομικούς χρήστες. Τα air-gapped συστήματα έχουν προκύψει ως μία από τις πιο ασφαλείς λύσεις, προσφέροντας φυσική και δικτυακή απομόνωση από το διαδίκτυο και άλλες συνδέσεις δικτύων.

Τα air–gapped συστήματα είναι υπολογιστικά συστήματα που είναι εντελώς απομονωμένα από οποιοδήποτε δημόσιο δίκτυο, όπως το διαδίκτυο ή ακόμα και από άλλα δίκτυα εντός μιας εταιρείας ή οργανισμού. Ο όρος “air gap” αναφέρεται κυριολεκτικά στο “κενό αέρα” που υπάρχει ανάμεσα στο σύστημα και σε εξωτερικές πηγές σύνδεσης. Αυτή η απομόνωση δημιουργείται με σκοπό να αυξηθεί η ασφάλεια και να προστατευθούν ευαίσθητα δεδομένα από επιθέσεις, κακόβουλο λογισμικό ή άλλες απειλές.

Συνήθως χρησιμοποιούνται σε περιβάλλοντα όπου η ασφάλεια είναι κρίσιμη, όπως στρατός, κυβερνητικές υπηρεσίες, τράπεζες, τομέας ενέργειας και βιομηχανίες που χειρίζονται ευαίσθητα δεδομένα.

Αυτά τα συστήματα, ωστόσο, δεν είναι απροσπέλαστα και οι επιτιθέμενοι έχουν αναπτύξει εξελιγμένες μεθόδους και εργαλεία για την κλοπή δεδομένων από αυτά. Σε αυτό το άρθρο, θα διερευνήσουμε τη δομή, τη λειτουργία και τους κινδύνους που ελλοχεύουν στα air-gapped συστήματα, καθώς και στρατηγικές και εργαλεία που χρησιμοποιούνται για την κλοπή.

Τα air-gapped συστήματα προσφέρουν έναν υψηλό βαθμό ασφαλείας μέσω της απομόνωσης, αλλά απαιτούν αυστηρές διαδικασίες σχετικά με τη διαχείριση και τη μεταφορά δεδομένων για να διασφαλιστεί η προστασία τους.

Λειτουργία air–gapped συστημάτων:

Φυσική Απομόνωση:

Τα air-gapped συστήματα δεν έχουν καμία φυσική σύνδεση με το Διαδίκτυο ή άλλα δίκτυα. Αυτό σημαίνει ότι δεν μπορούν να επικοινωνούν με εξωτερικά συστήματα ή συσκευές απευθείας, ελαχιστοποιώντας έτσι την πιθανότητα εξωτερικών επιθέσεων μέσω διαδικτύου.

Ενημερώσεις και Μεταφορά Δεδομένων:

Για την ενημέρωση του λογισμικού ή τη μεταφορά δεδομένων, χρησιμοποιούνται μέσα όπως USB drives ή CD/DVD. Αυτές οι συσκευές πρέπει να σαρώνονται για κακόβουλο λογισμικό πριν τη σύνδεσή τους στα air-gapped συστήματα.

Διαχείριση Πρόσβασης:

Στα air-gapped συστήματα, η πρόσβαση περιορίζεται αυστηρά. Συνήθως απαιτείται φυσική παρουσία και οι χρήστες πρέπει να έχουν ειδικά δικαιώματα πρόσβασης. Οι χώρες και οι οργανισμοί συχνά εφαρμόζουν φυσικές ασφάλειες σε χώρους που περιέχουν air-gapped συστήματα, όπως φυλάκια και απαιτήσεις εξουσιοδότησης. Επιπλέον, η πρόσβαση μπορεί να παρακολουθείται και να καταγράφεται για λόγους ασφαλείας. Αυτά τα συστήματα συχνά δίνουν προτεραιότητα στην ασφάλεια, χρησιμοποιώντας τεχνολογίες κρυπτογράφησης και διαχείρισης δικτύου που περιορίζουν την πρόσβαση.

Αν και είναι πιο ασφαλή, τα air-gapped συστήματα δεν είναι εντελώς άτρωτα. Επιθέσεις όπως η μεταφορά malware μέσω USB ή η φυσική πρόσβαση από κακόβουλους χρήστες είναι πιθανοί κίνδυνοι.

Οι επιτιθέμενοι έχουν αναπτύξει τεχνικές και εργαλεία προκειμένου να αντλήσουν δεδομένα από τα air gapped συστήματα. Μερικά από τα εργαλεία και μεθόδοι που χρησιμοποιούνται είναι:

USBFlash Drives: Χρήστες μπορεί να εισάγουν μολυσμένα USB drives, τα οποία περιέχουν κακόβουλο λογισμικό. Αυτά τα λογισμικά μπορούν να κλέβουν δεδομένα όταν ο χρήστης τα ενεργοποιήσει.
AkousticCryptanalysis: Αυτή η τεχνική χρησιμοποιεί μικρόφωνα για να καταγράψει τον ήχο που παράγουν οι υπολογιστές κατά την πληκτρολόγηση ή την εκτύπωση. Εκμεταλλεύεται τους ήχους που κάνουν οι σκληροί δίσκοι, οι ανεμιστήρες και άλλα εξαρτήματα των μηχανημάτων όταν λειτουργούν, προκειμένου να εξάγουν δεδομένα. Είναι μια εξειδικευμένη και πιο σύνθετη μέθοδος. Στη συνέχεια, μπορούν να ανασυνθέσουν δεδομένα όπως κωδικούς πρόσβασης.
OpticalData Exfiltration: Κάποιοι επιτιθέμενοι έχουν χρησιμοποιήσει οπτικά σήματα (π.χ. LED ή άλλες πηγές φωτός) για να μεταδώσουν δεδομένα σε κοντινές συσκευές, όπως κάμερες.
RFIDκαι Συσκευές ασύρματης μετάδοσης: Υπάρχουν συσκευές που μπορούν να εκπέμπουν σήματα RF (ραδιοσυχνότητας) για να στείλουν δεδομένα σε κοντινές συσκευές.
Δορυφορικές επικοινωνίες: Ορισμένα συστήματα μπορεί να έχουν πιο προηγμένες δυνατότητες επικοινωνίας, όπως η χρήση δορυφορικών τεχνολογιών για την εκπομπή δεδομένων. Οι επιτιθέμενοι μπορεί να εκμεταλλευτούν αυτήν τη δυνατότητα για να στείλουν ή να λάβουν πληροφορίες.
PhysicalAccess: Ο φυσικός έλεγχος ή η πρόσβαση στα air-gapped συστήματα από κακόβουλους χρήστες μπορεί να επιτρέψει την εγκατάσταση κακόβουλου λογισμικού ή την αφαίρεση δεδομένων, είτε εκούσια είτε ακούσια.
SocialEngineering: Επιθέσεις μέσω κοινωνικής μηχανικής μπορούν να πείσουν χρήστες να προβούν σε κακόβουλες ενέργειες, όπως η εκτέλεση της αναγνωρισμένης εφαρμογής.

Εργαλεία και τεχνικές βλέπουμε εδώ, εδώ, εδώ, εδώ, εδώ και εδώ.

Υπάρχουν αναφορές για επιθέσεις που εκμεταλλεύτηκαν air-gapped συστήματα, όπως η επίθεση Stuxnet σε πυρηνικούς σταθμούς στο Ιράν. Μια αποκαλυπτική αναφορά των ερευνητών της ESET παρουσίασε δύο εξαιρετικά εξελιγμένα εργαλεία που χρησιμοποιήθηκαν από μια εθνική ομάδα κυβερνοεγκληματιών, με την ονομασία GoldenJackal.

Η ομάδα GoldenJackal έχει στοχεύσει κυβερνητικές υπηρεσίες σε διάφορες χώρες στην Ευρώπη, τη Μέση Ανατολή και τη Νοτιοανατολική Ασία. Όπως αναφέρθηκε, ανιχνεύθηκαν εργαλεία της GoldenJackal σε μία νοτιοασιατική πρεσβεία στη Λευκορωσία κατά τους μήνες Αύγουστο και Σεπτέμβριο του 2019, καθώς και ξανά τον Ιούλιο του 2021. Οι αναφορές αυτές υποδηλώνουν ότι οι στοχεύσεις τους περιλαμβάνουν διπλωματικές αποστολές και πιθανώς άλλες κυβερνητικές οντότητες που ασχολούνται με τη διεθνή πολιτική και τη διαχείριση των σχέσεων μεταξύ κρατών.

Η επίθεση σε air-gapped συστήματα είναι μια σύνθετη διαδικασία που απαιτεί τη χρησιμοποίηση διαδοχικών εργαλείων για την υποκλοπή και την εξαγωγή ευαίσθητων δεδομένων. Ακολουθεί μια αναλυτική περιγραφή της διαδικασίας που μπορεί να διενεργηθεί με τα εργαλεία της GoldenJackal:

Εισαγωγή κακόβουλων κωδικών στο air–gapσύστημα

GoldenDealer(2019): Η επίθεση ξεκινάει με τη χρήση του GoldenDealer, το οποίο παραδίδει κακόβουλους εκτελέσιμους κώδικες μέσω USB drives. Ο επιτιθέμενος μπορεί να χρησιμοποιήσει τεχνάσματα για να πείσει έναν εργαζόμενο του στοχοθετημένου οργανισμού να συνδέσει το USB drive σε ένα air-gapped σύστημα.

GoldenHowl (2019)

Λειτουργία: Πίσω πόρτα με διάφορα modules για κακόβουλες δυνατότητες.

Σκοπός: Διευκολύνει την παρακολούθηση και τη συλλογή δεδομένων.

Παρακολούθηση των συσκευών USB

GoldenUsbCopy (2019): Αμέσως μόλις το USB drive εισαχθεί στο σύστημα, το GoldenUsbCopy ενεργοποιείται και αρχίζει να παρακολουθεί τη σύνδεση. Ανιχνεύει κάθε αρχείο που προστίθεται στο USB και ταυτόχρονα τα αντιγράφει σε ένα κρυπτογραφημένο αρχείο στον τοπικό δίσκο, χωρίς να αφήνει ίχνη.

GoldenUsbGo (2020): Αν η επίθεση είναι προγραμματισμένη για μεγαλύτερη αποτελεσματικότητα, μπορεί να χρησιμοποιηθεί το GoldenUsbGo, μια αναβαθμισμένη έκδοση του GoldenUsbCopy, η οποία προσφέρει πιθανώς γρηγορότερες διαδικασίες ή περισσότερα χαρακτηριστικά για την υποκλοπή.

Διάδοση κακόβουλου λογισμικού

GoldenAce (2020): Αφού έχουν συγκεντρωθεί δεδομένα από το USB drive, μπορεί να χρησιμοποιηθεί το GoldenAce για την αναπαραγωγή άλλων κακόβουλων εκτελέσιμων αρχείων, διευρύνοντας την εμβέλεια της επίθεσης. Αυτό εγγυάται ότι οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση σε περισσότερα συστήματα μέσω της κακόβουλης διανομής.

Συλλογή & εξαγωγή πληροφοριών

GoldenRobo (2019): Αυτό το εργαλείο μπορεί επίσης να χρησιμοποιηθεί για την εξαγωγή συγκεκριμένων αρχείων από το air-gapped σύστημα, εξασφαλίζοντας ότι τα πολύτιμα δεδομένα συγκεντρώνονται και αποθηκεύονται ασφαλώς πριν από τη μετάδοση.

JackalSteal (2022)

Λειτουργία: Συλλέκτης και εξαγωγέας αρχείων.

Σκοπός: Εξειδίκευση στη συλλογή δεδομένων για διευρυμένες επιθέσεις.

Επικοινωνία και εξαγωγή δεδομένων

GoldenMailer (2021): Όταν το επιτιθέμενο σύστημα έχει πρόσβαση στο διαδίκτυο (π.χ. όταν αποσυνδέεται από το air gap και συνδέεται σε έναν εξωτερικό υπολογιστή), το GoldenMailer χρησιμοποιείται για την εξαγωγή δεδομένων. Κλέβει τα αρχεία ενδιαφέροντος από το απομονωμένο σύστημα και τα στέλνει ως επισυναπτόμενα σε email που αποστέλλονται σε μια διεύθυνση ελέγχου του επιτιθέμενου. Αυτή η μέθοδος επιτρέπει την απομακρυσμένη ανάλυση των κλεμμένων δεδομένων.

GoldenDrive (2021): Εναλλακτικά, μπορεί να χρησιμοποιηθεί το GoldenDrive για την αποθήκευση κλεμμένων αρχείων σε Google Drive. Αυτό προσφέρει μια πιο ασφαλή μέθοδο για την αποθήκευση και ανάκτηση κλεμμένων δεδομένων.

Εξαγωγή ενδιαφέροντος από πληροφορίες

GoldenBlacklist (2022): Παράλληλα με την εξαγωγή αρχείων, το GoldenBlacklist μπορεί να εγκατασταθεί για τη συλλογή σημαντικών πληροφοριών από email που λαμβάνονται από το σύστημα. Κατεβάζει κρυπτογραφημένα αρχεία από τοπικό διακομιστή και φιλτράρει τα email για την αναγνώριση ενδεχόμενων στόχων.

GoldenPyBlacklist (2022): Μια ανανεωμένη εκδοχή του GoldenBlacklist, γραμμένη σε Python, εμπλουτίζει τη συλλογή δεδομένων με ίδια χαρακτηριστικά αλλά πιθανόν με περισσότερες ευκολίες χρήσης και ευελιξία.

JackalControl(2022)

Λειτουργία: Πίσω πόρτα που διευκολύνει την παρακολούθηση.

Σκοπός: Παροχή επιπλέον δυνατοτήτων για παρακολούθηση και εξαγωγή.

JackalWorm (2022)

Λειτουργία: Αντιστροφή άλλων JackalControl μέσω USB.

Σκοπός: Διάδοση λογισμικού κατά τη σύνδεση USB drives.

Εξωτερική πρόσβαση

HTTP Server (2023): Επιπλέον, ένας HTTP server μπορεί να χρησιμοποιηθεί στη διαδικασία επικοινωνίας με τα κακόβουλα εργαλεία. Παρόλο που η λειτουργία του δεν είναι πλήρως κατανοητή, πιθανώς να επιτρέπει τη λήψη και αποστολή πληροφοριών από και προς το διαδίκτυο.

Η επίθεση σε air-gapped συστήματα αξιοποιεί μια σειρά κακόβουλων εργαλείων που συνεργάζονται για την υποκλοπή και εξαγωγή δεδομένων. Από την εισαγωγή κακόβουλων κωδίκων μέχρι την εξαγωγή τους με email ή μέσω κρυφών διακομιστών, κάθε βήμα απαιτεί προγραμματισμένη και στοχευμένη δράση. Η ανίχνευση και προστασία από τέτοιες επιθέσεις απαιτεί μια συνεχής αναβάθμιση των μέτρων ασφαλείας και την ενσυνείδητη εκπαίδευση των χρηστών.

Οι οργανισμοί που διατηρούν τέτοιου είδους υποδομές πρέπει να είναι σε εγρήγορση και ενήμεροι για τις προόδους στις τακτικές και τεχνολογίες των hackers, προκειμένου να διασφαλίσουν τα δεδομένα τους από επιθέσεις

Για την προστασία αυτών των συστημάτων, είναι σημαντικό να υπάρχει αυστηρός έλεγχος πρόσβασης, εκπαίδευση προσωπικού, και εφαρμογή πολιτικών ασφάλειας που περιλαμβάνουν ελέγχους και λογισμικό για την ανίχνευση και αποτροπή κακόβουλων επιθέσεων.

Η κατανόηση αυτών των σημείων είναι κρίσιμη για την ενίσχυση της ασφάλειας των air-gapped συστημάτων και τη μείωση του κινδύνου από πιθανές επιθέσεις.

Volunteer Team

Η εθελοντική ομάδα του CSI Institute, αποτελούμενη από εξειδικευμένους επιστήμονες όπως, ψυχολόγους, εγκληματολόγους, κοινωνιολόγους καθώς και τεχνικούς δικτύων & πληροφορικής, είναι κοντά σας παρέχοντας πληροφορία, ενημέρωση και γνώση μέσα από ποικίλα θέματα αρθρογραφίας.