ETHERLED: Los sistemas que filtran datos a través de los LEDs de la tarjeta de red

Rubén Castro, 25 agosto 2022

Han comenzado los Días sin IVA de Zococity con ofertas en todas las categorías!!!

Ver ofertas

Mordechai Guri ha ideado un método que aprovecha los LED de las tarjetas de red para robar datos de los dispositivos que han sido interceptados por el aire. El método “ETHERLED” convierte las luces parpadeantes en una forma de código Morse comprensible.


Las señales pueden ser captadas por una cámara siempre que tenga una línea de visión clara hacia las luces LED del ordenador con bloqueo de aire. Es posible robar datos convirtiéndolos en binarios.

Los ordenadores que están físicamente desconectados de la red general de Internet se conocen como sistemas herméticos (por ejemplo, infraestructuras vitales, unidades de control de armas).

En estos sistemas herméticos se utilizan tarjetas de red. Mordechai Guri descubrió que un adversario podría comprometer la tarjeta sustituyendo el controlador por un programa que modificara el color y la frecuencia de parpadeo de los LED para transmitir datos codificados.

ETHERLED es compatible con dispositivos de almacenamiento conectados a la red (NAS), routers, impresoras, escáneres y otros dispositivos conectados que dependen de los LED para indicar su estado o si están en funcionamiento.

ETHERLED es más encubierto que otros dispositivos de exfiltración de datos que controlan los LEDs del teclado y del módem que han sido descubiertos hasta este momento.

Detalles de ETHERLED

El malware se utiliza como punto de partida para el ataque, y actualiza el firmware de la tarjeta de red. Esto determina con qué frecuencia se produce el parpadeo, durante cuánto tiempo y de qué color es.

Además, el malware puede atacar directamente la unidad NIC para cambiar el estado de conectividad o alterar los LEDs que generan señales.

El controlador malicioso es capaz de hacer uso de las características de hardware publicadas o no documentadas con el fin de ajustar las tasas de conexión a la red, habilitar o deshabilitar la interfaz Ethernet, y provocar cambios en el color y la luz parpadeante.

Los resultados de los experimentos de Guri indican que cada trama de datos comienza con “1010”, seguida de una carga útil de 64 bits.

Para la exfiltración de datos a través de los LEDs de estado individuales, se crearon puntos y guiones en código Morse de 100-300ms, que fueron seguidos por intervalos de desactivación de los indicadores que oscilaban entre 100-700ms.

Los ataques a los controladores o al firmware pueden multiplicar por diez la tasa de bits del código Morse (10m de puntos, 30m de guiones, intervalos de 10-70ms).

Para grabar señales a distancia, los actores de la amenaza pueden hacer uso de cámaras de teléfonos inteligentes (con un alcance de hasta 30 metros), drones (con un alcance de hasta 50 metros), cámaras web hackeadas (10 metros), cámaras de vigilancia hackeadas (30 metros), telescopios o cámaras con teleobjetivos o superzoom (más de 100 metros).

ETHERLED puede filtrar contraseñas en tan sólo un segundo o un segundo y medio, claves privadas de Bitcoin en tan sólo 2,5 a 4,2 minutos, y claves RSA de 4096 bits en tan sólo 42 segundos hasta una hora, dependiendo de la estrategia de ataque.

Otros detalles

Además, Mordechai publicó un artículo titulado “GAIROSCOPE”, que describe una estrategia de ataque para sistemas con trampa de aire. Esta estrategia implica la generación de frecuencias de resonancia en el dispositivo objetivo, que luego son detectadas por el sensor giroscópico de un smartphone cercano (hasta 6 metros).

En julio, el mismo investigador publicó el ataque “SATAn”, que aprovecha las conexiones SATA como antenas para generar ondas electromagnéticas portadoras de datos que pueden ser captadas por los ordenadores cercanos. Estas ondas pueden usarse para robar información de los ordenadores portátiles objetivo (hasta 1,2 metros).

En el sitio web de la BGU Negev se puede encontrar información sobre los métodos de canal encubierto en el aire desarrollados por el Dr. Mordechai Guri.