El malware de prueba de concepto creado por un equipo de investigadores israelíes utiliza las capacidades de infrarrojos de cámaras de seguridadmodernas como un canal para robar datos, pero también para recibir nuevos comandos de sus operadores. Se le denomina aLR-Jumper. Está destinado para ser instalado en equipos que interactúan con cámaras de vigilancia. También puede estar dentro de un equipo de la misma red. El atacante, por tanto, puede hackear el propio dispositivo.
Malware en las cámaras de seguridad
El malware funciona tomando datos recogidos de un ordenador infectado, dividiéndolos en binarios, unos y ceros, y aprovechando la API de la cámara para que los LEDs infrarrojos del dispositivo parpadeen. Utilizan este mecanismo como una forma de robar los datos de una red infectada.
Un atacante dentro del rango del LED infrarrojo de la cámara de seguridad podrá grabar hasta un parpadeo y usar un software especial que reconstruye los destellos y pausas en los unos y ceros de los datos robados.
Del mismo modo, un atacante puede usar un LED de infrarrojos para enviar nuevos comandos a una cámara de seguridad dentro de una red infectada. El malware puede ver la alimentación de vídeo de la cámara, detectar transmisiones LED de infrarrojos a intervalos de tiempo preestablecidos y convertir los destellos entrantes en nuevos comandos que tiene que ejecutar.
Las cámaras de seguridad y vigilancia están equipadas con LEDs infrarrojos como una forma de habilitar la visión nocturna. Debido a que la luz infrarroja es imperceptible para el ojo humano, cualquier comunicación hacia y desde la red comprometida es invisible para todos los que puedan observarla.
Malware similar a este se creó para robar datos de las fugas en las redes que se desconectan de Internet por motivos de seguridad.
Imperceptible
El malware aIR-Jumper proporciona un medio perfecto que los objetivos no creen que sea un posible canal de exfiltración de datos. Es imperceptible, por tanto, para las posibles víctimas.
Además, el malware también se puede implementar en redes conectadas a Internet. Se utiliza como un medio de exfiltración encubierta que ignora cualquier cortafuegos y soluciones antivirus y deja huellas mínimas en los archivos de registro.
Debido a la proliferación actual de soluciones de CCTV y vigilancia, un tipo de malware como aIR-Jumper podría utilizarse para robar datos y controlar malware instalado en una amplia variedad de redes. Desde corporaciones a instituciones gubernamentales seguras y desde departamentos de policía hasta laboratorios de investigación avanzados.
“Nuestra evaluación muestra que un atacante puede utilizar infrarrojos y cámaras de vigilancia para comunicarse a través posibles fugas a una distancia de decenas a cientos de metros de distancia”, dicen los investigadores.
“Los datos pueden ser filtrados desde una red a una tasa de 20 bits por segundo y ser entregados a la red a una velocidad de más de 100 bits por cámara”, añadieron los investigadores.
La velocidad de exfiltración es baja en comparación con experimentos similares llevados a cabo por el mismo grupo de investigadores. Los hallazgos anteriores muestran que los LEDs del enrutador son el mejor medio de exfiltración de datos de las redes.
Sin embargo, los enrutadores y los switches suelen estar encerrados en centros de datos o cajas especiales en la sede de una empresa, mientras que las cámaras de seguridad se encuentran al aire libre, donde los atacantes pueden interactuar fácilmente con los dispositivos.
Fuente:https://www.redeszone.net/2017/09/20/nuevo-malware-utiliza-camaras-seguridad-robar-datos/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad