ODINI-Malware durchbricht abgeschirmte Rechner mittels CPU-Magnetfeldern

Organisationen in den Bereichen Militär, Finanzen und kritische Infrastrukturen verlassen sich stark auf Luftspalt-Systeme und Faraday-Käfige, um vertrauliche Daten vor elektromagnetischen Störungen und ferngesteuerten Netzwerkangriffen zu schützen.

Trotz dieser robusten Vorsichtsmaßnahmen zeigt ODINI, dass motivierte Angreifer, die ein System zunächst über Supply-Chain-Angriffe oder kompromittierte USB-Laufwerke infizieren, dennoch hochwertige Assets wie Passwörter, Authentifizierungstokens und Verschlüsselungsschlüssel extrahieren können.

ODINI-Malware in Luftschutzzonen Das Kernextraktionsverfahren ändig auf der präzisen Manipulation der Zentraleinheit des kompromittierten Geräts. Die Malware überlastet absichtlich die CPU-Kerne mit Berechnungen, wodurch dynamische Schwankungen im Stromverbrauch entstehen, die inhärent niederfrequente Magnetfelder erzeugen.

Da niederfrequente magnetische Wellen eine extrem

Da niederfrequente magnetische Wellen eine extrem geringe Impedanz aufweisen, dringen sie mühelos durch Standardkomponenten des Computergehäuses und die massive Metallverkleidung äfigen. Die Übertragungsfunktion erfordert keine erhöhten Administratorrechte zur Ausführung ihrer Aufgaben und nutzt einfache Prozessoroperationen, um die Erkennung durch herkömmliche Antivirensoftware oder Laufzeitüberwachungstools zu umgehen.

Darüber hinaus verwendet die Malware fortschrittliche Datenmodulationsschemata, einschließlich Amplituden- und Frequenzmodulation, um die gestohlenen Informationen präzise auf magnetische Wellen zu kodieren, so Mordechai Guri. Sobald die Daten kodiert und als magnetisches Signal übertragen werden, muss ein Angreifer ein Empfangsgerät in unmittelbarer Nähe positionieren, um die verdeckten Emissionen zu erfassen.

Die ODINI-Technik nutzt einen dedizierten Magnetfeldsensor, der sich in einem physikalischen Abstand von 100 bis 150 Zentimetern vom kompromittierten Gerät befindet und eine maximale Datenübertragungsrate von 40 Bits pro Sekunde erreicht. Eine parallele Angriffsvariante namens MAGNETO nutzt die identische CPU-Manipulationstechnik, verwendet jedoch den integrierten Magnetometer eines infizierten Smartphones als Empfänger.

MAGNETO ist wirksam in Entfernungen bis

MAGNETO ist wirksam in Entfernungen bis zu 12,5 Zentimetern und überträgt Daten mit einer Rate von 5 Bits pro Sekunde; dies funktioniert insbesondere auch dann, wenn das empfangende Smartphone in eine Faraday-Tasche gelegt oder auf Flugzeugmodus umgeschaltet ist. Der Schutz gegen die Exfiltration über magnetische Felder stellt für Sicherheitsbetriebszentren eine erhebliche ingenieurtechnische Herausforderung dar.

Herkömmliche Faraday-Käfige können diese niederfrequenten Übertragungen nicht blockieren, und der Aufbau physischer Abschirmungen aus spezialisierten ferromagnetischen Materialien wie Mu-Metal ist häufig prohibitiv teuer und hochgradig unpraktisch.

Sicherheitsfachleute empfehlen die Implementierung hardwarebasierter Signal-Störsender, die kommerzielle Magnetfeldgeneratoren nutzen, um aktiv gegenläufiges magnetisches Rauschen zu erzeugen, das die heimlichen Übertragungen vollständig überdeckt.

Leistung und Energieausbeute

Alternativ kann softwarebasierter Störmechanismus eingesetzt werden, um zufällige CPU-Arbeitslasten einzuführen, die das codierte Signal des Angreifers stören; dieser Verteidigungsansatz kann jedoch die Gesamtsystemleistung vorübergehend beeinträchtigen.

Letztendlich bleiben strenge physische Zonierungsrichtlinien, die den vollständigen Ausschluss externer elektronischer Geräte aus der unmittelbaren Umgebung, die zuverlässigste Verteidigungsmaßnahme. Cyberkriminelle dringen heute nicht mehr durch Ihre Haustür ein, sondern über Ihre Lieferanten – Kostenfreies Webinar.

Der Beitrag „ODINI-Malware nutzt CPU-magnetische Emissionen, um Faraday-geschützte luftgetrennte Computer zu kompromittieren" erschien erstmals auf Cyber Security News.