0xNews - NIC 의 LED 를 통한 데이터 유출이 가능한 airgap 공격 방식 공개

이스라엘 벤 구리온 대학 연구팀 발표

코드명 ETHERLED 로 명명

에어갭이라는, 이른바 망분리된 전산실에서의 새로운 데이터 유출 방법을 연구

NIC 네트워크 카드의 LED 를 이용하여 모스 부호 신호를 보내는 것을 통해 가능함을 확인

공격 시나리오

NIC 가 있는 컴퓨터에 악성코드 설치

해당 기기 내 펌웨어 명령을 이용

NIC 의 LED의 깜빡이거나 색상이 변경되는 것을 활용

이를 프로그래밍 방식으로 상태 LED를 제어하여 외부로 데이터 유출이 가능

악성코드가 설치된 컴퓨터 내 정보를 모스 부호와 같은 간단한 인코딩을 통해 광학 신호를 통해 변조 가능

공격자는 해당 정보를 수십에서 수백미터 떨어진 곳에서 정보를 가로채고 디코딩하여 정보 확보

NIC Network Interface Card 는 컴퓨터를 네트워크에 연결하는 컴퓨터 하드웨어 구성 요소

NIC LED 는 네트워크가 정상적으로 연결이 되었는지 여부와 데이터 활동이 발생하는 시기를 사용자에게 알려줌

NIC LED 의 깜박이거나 색상이 변경되는 것은 이를 확인할 수 있는 카메라를 통해 이를 외부로 전달

혹은 실제 에어갭 환경 내 컴퓨터에서의 상황이 발생 한다면 인근 감시 카메라나 내부자의 스마트폰 등을 통해 수신

이 공격은 암호, RSA암호화 키, 키 입력, 텍스트 컨텐츠 등을 포함한 다양한 유형의 정보를 유출 가능

또한 NIC LED는 일반 데스크탑이나 서버 외 프린터, 네트워크 카메라, NAS 기기, 임베디드 시스템이나 IoT 기기 등과 깉이 이더넷 카드와 함께 제공되는 다수 주변 기기 혹은 하드웨어와 함께 작동하도록 설계

공격이 실체화 된다면 전산실 부근의 카메라 사용 금지, NIC LED 의 불빛 노출 차단, 소프트웨어를 재프로그래밍하여 인코딩 체계에 대한 무력화 등 방어 활동 필요

openLab