Strzeżcie się SATAn, Nowy cyberatak wykorzystuje przewody SATA, SATAn

Strzeżcie się SATAn! Nowy cyberatak wykorzystuje przewody SATA i zagraża nawet odseparowanym sprzętom

W środowisku informatycznym systemy „air gap” to zwykle zestawy komputerowe, które są praktycznie niewrażliwe na cyberataki z racji tego, że są całkowicie odcięte od sieci lokalnych i Ethernet. Jak jednak udowodnili badacze bezpieczeństwa z Department of Software and Information Systems Engineering na Ben-Gurion University of the Negev w Izraelu, nawet tym systemom coś zagraża przez odkryty właśnie cyberatak o nazwie SATAn.

Odkryto nowy cyberatak SATAn, który wykorzystuje przewody SATA do atakowania nawet odseparowanych sprzętów

Jak sama nazwa wskazuje, cyberatak SATAn ma bezpośredni związek z interfejsem SATA stosowanym do łączenia dysków z płytą główną. Z kolei tam, gdzie są dyski, tam też są dane i to właśnie na nich cyberprzestępcy wykorzystujący atak SATAn mogą położyć swoje lepkie rączki. Wszystko sprowadza się do tego, że w ramach ataku poprzez przewody SATA, wykorzystuje się je w roli bezprzewodowych anten do transmisji danych i informacji bezpośrednio z komputera do znajdującego się w pobliżu odbiornika.

Czytaj też: Zaawansowany rosyjski samolot zestrzelony. Su-34M mieli zniszczyć sami Rosjanie

Chociaż komputery air-gap nie mają łączności bezprzewodowej, pokazujemy, że napastnicy mogą wykorzystać kabel SATA jako antenę bezprzewodową do przesyłania sygnałów radiowych w paśmie częstotliwości 6 GHz. Serial ATA (SATA) jest interfejsem magistrali szeroko stosowanym w nowoczesnych komputerach i łączy magistralę hosta z urządzeniami pamięci masowej, takimi jak dyski twarde, napędy optyczne i dyski półprzewodnikowe. Powszechność interfejsu SATA sprawia, że atak ten jest wysoce dostępny dla napastników w szerokim zakresie systemów komputerowych i środowisk IT.Nasze eksperymenty wykazują, że kable SATA 3.0 emitują promieniowanie elektromagnetyczne w różnych pasmach częstotliwości; 1 GHz, 2,5 GHz, 3,9 GHz i +6 GHz. Jednak najbardziej znacząca korelacja z transmisją danych rozciąga się od 5,9995 GHz do 5,9996 GHz. Idea ukrytego kanału polega na wykorzystaniu kabla SATA jako anteny i kontrolowaniu emisji elektromagnetycznej– czytamy w artykule na temat SATAn.

Czytaj też: 3mk Hardy – dziwny przypadek pewnego produktu

Eksperymenty z tym podejściem wykazały, że „robienie anteny z przewodu SATA” ma sens zwłaszcza przy dokonywaniu operacji odczytu, bo wtedy sygnał jest o średnio 3 dB silniejszy względem zapisu. Dodatkowo atak może być utrzymywany nawet przy aktywnych obciążeniach, choć dodatkowa aktywność innych dysków obniża ogólną jakość sygnału dokładnie tego przewodu SATA, którego cyberprzestępcy chcą „podsłuchiwać”. Najciekawsze jest z kolei zdecydowanie to, że przed atakiem nie są chronione nawet maszyny wirtualne, choć wyciągnięcie z nich danych jest jeszcze trudniejsze z racji słabszego zasięgu.