Sebuah tim akademisi telah berhasil mengembangkan dan menguji malware yang dapat mengeksfiltrasi data dari komputer air-gap melalui jaringan listrik. Tim yang berasal dari Universitas Ben-Gurion Negev di Israel ini menamai teknik eksfiltrasi data tersebut PowerHammer.
PowerHammer bekerja dengan menginfeksi komputer air-gap dengan malware yang dengan sengaja mengubah tingkat penggunaan CPU untuk membuat komputer korban mengkonsumsi lebih banyak atau lebih sedikit daya listrik.
Secara default, komputer mengekstrak daya dari jaringan lokal dengan cara yang seragam. Serangan PowerHammer menghasilkan variasi dari jumlah daya yang disedot oleh PC korban dari jaringan listrik lokal. Fenomena ini dikenal sebagai “conducted emission.”
Dengan mengubah tingkat konsumsi daya tinggi dan rendah, malware ini dapat menyandikan data biner dari komputer korban ke dalam pola konsumsi daya.
Ada dua jenis serangan PowerHammer
Untuk mengambil data ini, penyerang harus mengetuk jaringan listrik korban sehingga dapat membaca variasi konsumsi daya dan memecahkan kode data biner yang tersembunyi di dalamnya.
Berdasarkan tempat penyerang menempatkan rig penyadapannya, ada dua jenis serangan dengan dua kecepatan eksfiltrasi yang berbeda.
Yang pertama adalah “line level power-hammering,” dan ini terjadi ketika penyerang berhasil menyadap kabel listrik antara komputer air-gap dan soket listrik. Kecepatan eksfiltrasi untuk pemukul line level adalah sekitar 1.000 bit/detik.
Yang kedua adalah “phase level power-hammering,” versi serangan ini terjadi ketika penyusup menyentuh saluran listrik pada tingkat fase, dalam panel listrik sebuah gedung. Versi serangan ini lebih tersembunyi tetapi dapat memulihkan data hanya dengan 10 bit/detik, terutama karena jumlah “noise” yang lebih besar pada level fase saluran daya.
Serangan menggunakan peralatan listrik off-the-shelf
Perangkat sadapan bukanlah sesuatu yang super canggih, menjadi transformasi arus-ganda yang dapat dilekatkan ke saluran listrik apa pun.
Perangkat penyadap (probe) juga mampu mengirim data yang direkam ke komputer terdekat melalui WiFi, membuat pengumpulan data lebih mudah dari jauh, tanpa penyerang harus terhubung secara fisik ke probe penyadapan.
Serangan berfungsi di desktop, server, perangkat IoT
Eksperimen mengungkapkan bahwa serangan tersebut berhasil mencuri data dari perangkat air-gap desktop, laptop, server, dan bahkan perangkat IoT, tetapi kecepatan exfiltration speed lebih lambat untuk yang terakhir. Pengamatan lain adalah bahwa kecepatan eksfiltrasi menjadi lebih baik semakin banyak inti yang dimiliki CPU.
Mitigasi dan rincian lebih lanjut yang cenderung teknis tersedia dalam makalah tim peneliti, berjudul “PowerHammer: Exfiltrating Data from Air-Gapped Computers through Power Lines.” Ini juga harus dikatakan bahwa malware ini hanya sebuah eksperimen dan jika pernah digunakan di alam bebas, alat seperti itu hanya akan ditemukan di gudang agen intelijen dan bukan sesuatu yang akan dilihat oleh pengguna normal setiap hari.
