Μια ομάδα ερευνητών από το Τεχνολογικό Πανεπιστήμιο του Graz στην Αυστρία αποκάλυψε τις λεπτομέρειες της νέας μεθόδου επίθεσης, SnailLoad, που επιτρέπει σε έναν απομακρυσμένο χάκερ να υποκλέπτει ιστότοπους και άλλο περιεχόμενο που βλέπει ένας χρήστης, χωρίς να χρειάζεται άμεση πρόσβαση στο δίκτυό του.
Προηγούμενες έρευνες είχαν δείξει ότι οι ιστότοποι και οι ενέργειες των χρηστών μπορούν να υποκλαπούν, αλλά αυτό συνήθως απαιτούσε επίθεση person-in-the-middle (PitM) ή παραβίαση της σύνδεσης Wi-Fi του στόχου.
Δείτε ακόμη: Είναι το VR headset της Meta ευάλωτο σε ransomware επιθέσεις; – Έρευνα
Η νέα μέθοδος επίθεσης side-channel, που ανακαλύφθηκε από τους ερευνητές του TU Graz και ονομάζεται SnailLoad, είναι πιο αποτελεσματική, καθώς δεν απαιτεί θέση PitM, JavaScript ή οποιαδήποτε άλλη εκτέλεση κώδικα στο σύστημα του θύματος. Οι ερευνητές απέδειξαν την αποτελεσματικότητα της επίθεσης δείχνοντας ότι μπορούσαν να υποκλέψουν τα βίντεο και τους ιστότοπους του YouTube που επισκέπτεται ένας χρήστης.
Για να ξεκινήσει μια επίθεση SnailLoad, ο χάκερ πραγματοποιεί μια σειρά μετρήσεων λανθάνοντος χρόνου για διάφορα βίντεο και ιστότοπους του YouTube που ενδέχεται να παρακολουθεί το θύμα. Αυτές οι μετρήσεις δημιουργούν μια καθυστέρηση που περιλαμβάνει συγκεκριμένες παραλλαγές με την πάροδο του χρόνου για κάθε στοχευμένο βίντεο ή ιστότοπο, δημιουργώντας ουσιαστικά ένα μοναδικό δακτυλικό αποτύπωμα για καθένα από αυτά.
Στη συνέχεια, ο χάκερ πρέπει να πείσει τον στόχο να φορτώσει δεδομένα από έναν κακόβουλο server. Αυτό μπορεί να επιτευχθεί πείθοντας το θύμα να κατεβάσει ένα αρχείο, αλλά η επίθεση λειτουργεί επίσης με οποιοδήποτε άλλο μη κακόβουλο περιεχόμενο που παρέχεται από τον server του χάκερ, συμπεριλαμβανομένων φύλλων στυλ, γραμματοσειρών, εικόνων ή διαφημίσεων.
“Η κύρια απειλή εδώ είναι ότι οποιοσδήποτε server TCP μπορεί να λάβει κρυφά ίχνη λανθάνουσας κατάστασης από οποιονδήποτε πελάτη που συνδέεται σε αυτόν,” δήλωσε ο Stefan Gast, ένας από τους ερευνητές που συμμετέχουν σε αυτό το έργο, στο SecurityWeek.
Διαβάστε επίσης: Το νέο Snowblind malware στοχεύει Android συσκευές
Μια σημαντική πτυχή είναι ότι ο κακόβουλος server πρέπει να φορτώνει το περιεχόμενο με αργό ρυθμό – από εδώ προέρχεται το όνομα SnailLoad – ώστε ο εισβολέας να παρακολουθεί τον λανθάνοντα χρόνο σύνδεσης για εκτεταμένο χρονικό διάστημα.
Η επίθεση αξιοποιεί το γεγονός ότι οι servers συνήθως έχουν γρήγορη σύνδεση στο Διαδίκτυο, σε αντίθεση με την ταχύτητα όταν η κίνηση φτάνει στα συστήματα του ISP ή στην πύλη του θύματος, όπου τα πακέτα καθυστερούν. Αυτά τα σημεία συμφόρησης εύρους ζώνης μπορούν να χρησιμοποιηθούν από τον χάκερ για να κάνει μετρήσεις καθυστέρησης.
Τα δεδομένα που συλλέγει ο χάκερ κατά την ανάκτηση περιεχομένου από το σύστημα του θύματος συγκρίνονται με το προγενέστερα δημιουργημένο δακτυλικό αποτύπωμα, επιτρέποντας στον χάκερ να καταλάβει ποιο από τα βίντεο ή τους ιστότοπους της λίστας τους προβάλλεται από το θύμα σε διαφορετικό παράθυρο κατά τη διάρκεια της επίθεσης SnailLoad.
Οι ερευνητές παρατήρησαν ότι ένας χάκερ μπορεί να χρησιμοποιήσει ένα νευρωνικό δίκτυο για να μάθει το ίχνος καθυστέρησης σε κάθε στοχευμένο στοιχείο και να συμπεράνει αργότερα τον ιστότοπο ή το βίντεο. Η επίθεση είναι δύσκολο να μετριαστεί, καθώς αξιοποιεί τον τρόπο λειτουργίας του διαδικτύου. Παρ’ όλα αυτά, οι ερευνητές θεωρούν απίθανο να έχει γίνει εκμετάλλευση του SnailLoad στη φύση.
Επιπλέον, στην τρέχουσα μορφή της, ο αντίκτυπος της επίθεσης SnailLoad είναι περιορισμένος, δεδομένου ότι ο χάκερ πρέπει να συντάξει μια λίστα ιστότοπων που θα μπορούσε να επισκεφτεί το θύμα. Η ακρίβεια της επίθεσης μειώνεται αν το θύμα εκτελεί άλλες λειτουργίες εκτός από την προβολή του στοχευμένου ιστότοπου.
Δείτε ακόμα: Ρώσος κατηγορείται για κυβερνοεπιθέσεις στην Ουκρανία
Στις δοκιμές που διεξήγαγαν οι ερευνητές του TU Graz, καλύπτοντας 10 βίντεο YouTube και 100 δημοφιλείς ιστότοπους, πέτυχαν ακρίβεια μεταξύ 37% και 98%, ανάλογα με τον τύπο του στοχευόμενου πόρου και τη σύνδεση στο διαδίκτυο. Ο Gast θα παρουσιάσει τα ευρήματα στο συνέδριο Black Hat USA 2024 για την ασφάλεια στον κυβερνοχώρο αυτό το καλοκαίρι, μαζί με τον Daniel Gruss, καθηγητή ασφάλειας πληροφοριών στο Τεχνολογικό Πανεπιστήμιο του Γκρατς, ο οποίος συμμετείχε επίσης στο έργο. Ο Gruss είναι γνωστός για τις γνωστές επιθέσεις Meltdown και Spectre, καθώς και για πολλές άλλες επιθέσεις πλευρικού καναλιού που έχουν ανακαλυφθεί τα τελευταία χρόνια.
Διαβάστε περισσότερα: Ρώσοι hacker στοχεύουν την Ουκρανία με XWorm RAT Malware
Οι ερευνητές δημοσίευσαν μια εργασία που περιγράφει το SnailLoad και δημιούργησαν έναν ειδικό ιστότοπο, ο οποίος παρέχει μια περιγραφή υψηλού επιπέδου της επίθεσης. Ο ιστότοπος SnailLoad κάνει επίσης και επίδειξη της επίθεσης.
Πηγή: securityweek
