32c3チェックポイントのマルウェア開発者 Yaniv Balmas 氏と Lior Oppenheim 氏は、ネットワーク接続されたコンピューターや物理的に分離されたコンピューターに密かに感染し、情報を盗み出し、永続的に存在し続けることができる、エアギャップホッピング型のマルウェア システムを開発した。
ヤニフ・バルマス。
イスラエルを拠点とするこの2人組は、KVM(キーボード、ビデオ、マウス)ユニットを分解して侵入し、マルウェアをダウンロードして接続されたコンピュータを侵入できるようにした。
KVM はインターネットに接続されたマシンからマルウェアをダウンロードし、それをユニットのメモリに渡します。
そこから、エアギャップのある、したがっておそらくより敏感なマシンに拡散する可能性があります。
「この KVM は夜中に起動して、ユーザーのパスワードを入力し始める可能性があります」と、バルマス氏は講演「KVM を凶暴なキーロギング モンスターに変える方法」の中で述べています。
「パスワードを入力すると、KVM は wget を実行して、クラウドからインターネットに接続されたコンピューターにマルウェアを取得します。
「これは完全な持続性です。なぜなら、この攻撃を防ぐためにできることは何もありません。ハードドライブを再フォーマットしたり、コンピューターを交換したりすることはできますが、KVM が存在する限り、毎晩何度も感染することになります。」
攻撃の流れ。
攻撃者はいずれ KVM に物理的にアクセスする必要があり、攻撃は標的型攻撃に限定されます。
バルマス氏によると、これはさまざまなソーシャルエンジニアリングの策略を通じて、あるいは阻止行為を通じてサプライチェーンの上流をターゲットにし、侵害されたデバイスをターゲットに届けることによって達成できる可能性があるという。
しかし、KVM は IP アクセスでアップグレードされており、リモート ハッキングの手段が開かれ、エアギャップ ハッキングの影響が大幅に増大しています。
「もし IP によってアップグレードされれば、理論的にはリモートからそれを悪用することが可能です」とバルマス氏は言う。
彼は、リモートからの攻撃の実現可能性を示す、IP ベースの KVM における 5 つの既知の脆弱性を挙げました。
この攻撃や同様の攻撃に対する最善の防御策は、管理者が IT 環境内のハードウェアと、エアギャップマシンをネットワーク化されたコンピュータに接続する必要性をしっかりと理解することです。
セキュア KVM は攻撃を無力化しますが、通常のデバイスよりもはるかに高価であり、ほとんど使用されません。®
YouTubeビデオ
