サイバー犯罪者は、巧妙に仕組まれたスピアフィッシング攻撃によって、Contoso Ltd.の設計部門のPCを感染させることに成功しました。今、彼らは侵入したマシンと秘密裏に通信する方法を必要としています。
残念ながら、彼らは、Contoso の侵入不可能なネットワーク防御がマルウェアに送信されたコマンドを検出することを知っています。
検出を回避するには、同社のITセキュリティシステム「Hyper IronGuard WallShield 2300」が監視していないチャネルを通じてデータを送信する必要がある。このシステムは、「軍事グレード」の二重データ漏洩防止技術を備えている。
彼らは、聞こえない音、変調された光、さらにはハードウェアの熱操作など、いくつかの潜在的な秘密送信技術を検討しましたが、予算の制限と控えめな知力を考えると、どれも実用的ではないようです。
その後、3人組のグループの1人が、3月初めにイスラエルの2つの大学、ネゲブ・ベングリオン大学とワイツマン科学研究所の研究者らが発表したセキュリティ論文「おっと!…マルウェアをスキャンしてしまったようだ」[PDF]について聞いたことを思い出す。
他のハッカーたちは最初は懐疑的でしたが、提案された技術について知るにつれて、特にドローンで実現できることから、試してみることに前向きになりました。彼らは皆、ドローンが大好きなのです。
ベングリオン大学のベン・ナッシ氏とユヴァル・エロビシ氏、およびワイツマン研究所のアディ・シャミール氏の研究者らは、組織内の侵入されたコンピューターと、偶然外の窓の近くにある同じネットワーク上のスキャナーとの間に秘密の通信チャネルを作成する方法について説明しています。
この技術では、レーザーや赤外線ビームなどの外部光を窓から照射し(または操作可能な内部光源をハイジャックし)、その照明によってスキャナーの出力を変更して、必要なコマンド シーケンスを含むデジタル ファイルを生成します。
そのためには、サーバーからのバイナリエンコードされたコマンドを、スキャナーのセンサーに登録される光の点滅に変換するマイクロコントローラーにライトを接続する必要があります。
「スキャンプロセス全体が反射光の影響を受けるため、ガラス板に照射された光に干渉を与えると異なる電荷が生じ、その結果、スキャンされた素材の異なるバイナリ表現に解析されることになる」と論文は説明している。
研究者らは、標的組織にインストールされたマルウェアがスキャンを開始するよう指示されたタイミングで、3階のオフィスの窓の外にドローンをホバリングさせたと述べている。1ビットあたり50ミリ秒の伝送速度で、「d x.pdf」というコマンドを送信し、テスト用のPDFファイルを削除した。このコマンドシーケンスは、ドローンに搭載されたレーザーを使用して3.2秒かけて送信された。
サイバー犯罪者たちは数日間かけて計画を実行に移す準備をした。しかし、最終リハーサルの最中、犯人の一人が、攻撃には入射光を検知するためにスキャナーが少なくとも部分的に開いている必要があるため、計画が失敗に終わることに気づいた。
コントーソの貴重な秘密は彼らの手の届かないところにあったが、3人はすぐにペット輸送を専門とするシリコンバレーのドローンスタートアップ企業に採用された。®