Sebuah tim akademisi telah berhasil mengembangkan dan menguji malware yang dapat mengeksfiltrasi data dari komputer air-gap melalui jaringan listrik. Tim yang berasal dari Universitas Ben-Gurion Negev di Israel ini menamai teknik eksfiltrasi data tersebut PowerHammer.

PowerHammer bekerja dengan menginfeksi komputer air-gap dengan malware yang dengan sengaja mengubah tingkat penggunaan CPU untuk membuat komputer korban mengkonsumsi lebih banyak atau lebih sedikit daya listrik.

Secara default, komputer mengekstrak daya dari jaringan lokal dengan cara yang seragam. Serangan PowerHammer menghasilkan variasi dari jumlah daya yang disedot oleh PC korban dari jaringan listrik lokal. Fenomena ini dikenal sebagai “conducted emission.”

Dengan mengubah tingkat konsumsi daya tinggi dan rendah, malware ini dapat menyandikan data biner dari komputer korban ke dalam pola konsumsi daya.

Ada dua jenis serangan PowerHammer

Untuk mengambil data ini, penyerang harus mengetuk jaringan listrik korban sehingga dapat membaca variasi konsumsi daya dan memecahkan kode data biner yang tersembunyi di dalamnya.

Berdasarkan tempat penyerang menempatkan rig penyadapannya, ada dua jenis serangan dengan dua kecepatan eksfiltrasi yang berbeda.

Yang pertama adalah “line level power-hammering,” dan ini terjadi ketika penyerang berhasil menyadap kabel listrik antara komputer air-gap dan soket listrik. Kecepatan eksfiltrasi untuk pemukul line level adalah sekitar 1.000 bit/detik.

Yang kedua adalah “phase level power-hammering,” versi serangan ini terjadi ketika penyusup menyentuh saluran listrik pada tingkat fase, dalam panel listrik sebuah gedung. Versi serangan ini lebih tersembunyi tetapi dapat memulihkan data hanya dengan 10 bit/detik, terutama karena jumlah “noise” yang lebih besar pada level fase saluran daya.

Serangan menggunakan peralatan listrik off-the-shelf

Perangkat sadapan bukanlah sesuatu yang super canggih, menjadi transformasi arus-ganda yang dapat dilekatkan ke saluran listrik apa pun.

Ini adalah probe non-invasif yang dijepit di sekitar saluran listrik dan mengukur jumlah arus yang melewatinya (Fig. 10). Probe non-invasif berperilaku seperti induktor yang merespon medan magnet di sekitar kabel pembawa arus (Fig. 10 b). Jumlah arus dalam kumparan berkorelasi dengan jumlah arus yang mengalir dalam konduktor. Untuk percobaan, kami menggunakan transformasi arus utama perpecahan SparkFun ECS1030-L72.

Perangkat penyadap (probe) juga mampu mengirim data yang direkam ke komputer terdekat melalui WiFi, membuat pengumpulan data lebih mudah dari jauh, tanpa penyerang harus terhubung secara fisik ke probe penyadapan.

Serangan berfungsi di desktop, server, perangkat IoT

Eksperimen mengungkapkan bahwa serangan tersebut berhasil mencuri data dari perangkat air-gap desktop, laptop, server, dan bahkan perangkat IoT, tetapi kecepatan exfiltration speed lebih lambat untuk yang terakhir. Pengamatan lain adalah bahwa kecepatan eksfiltrasi menjadi lebih baik semakin banyak inti yang dimiliki CPU.

Mitigasi dan rincian lebih lanjut yang cenderung teknis tersedia dalam makalah tim peneliti, berjudul “PowerHammer: Exfiltrating Data from Air-Gapped Computers through Power Lines.” Ini juga harus dikatakan bahwa malware ini hanya sebuah eksperimen dan jika pernah digunakan di alam bebas, alat seperti itu hanya akan ditemukan di gudang agen intelijen dan bukan sesuatu yang akan dilihat oleh pengguna normal setiap hari.