Skip to content

MAGNETO

MAGNETO, malware'in bir bilgisayarın magnetic field emisyonlarını kontrol etmek için CPU workload'larını modüle ettiği gizli bir air-gap exfiltration channel'ıdır; data'yı fiziksel bir air gap boyunca yakındaki bir akıllı telefonun magnetometer'ına iletir — network izolasyonunu, telefonun Faraday shielding'ini ve uçak modunu bypass ederek.

Mechanism

Neden çalışır

Akım taşıyan herhangi bir iletken, içinden geçen akımla orantılı bir magnetic field üretir. Bir CPU core'unun güç çekimi — ve dolayısıyla magnetic field emisyonu — hesaplama yüküyle önemli ölçüde değişir. Malware, belirli CPU core'larında yüksek ve düşük yoğunluklu workload'ları bilerek schedule ederek, magnetic field'i tüketici akıllı telefon magnetometer'larıyla (tipik olarak onlarca ile yüzlerce Hz aralığında sample alan) uyumlu frekanslarda amplitude-modüle edebilir. Hedef makinenin yakınına yerleştirilen bir akıllı telefon, bu modüle edilmiş sinyali yerleşik magnetic sensor'ı üzerinden alabilir, bit stream'i decode edebilir ve data'yı bir cellular ya da Wi-Fi bağlantısı üzerinden attacker'ın server'ına aktarabilir. Channel tamamen physical layer'da çalışır; air gap'lerden, network firewall'larından ya da radio-frequency sinyallerini bloklamak için tasarlanmış Faraday shielding'den etkilenmez (çünkü magnetic near-field, kullanılan frekans aralığında böyle bir shielding'in içine nüfuz eder).

Walkthrough

Step 1 — Air-gapped host'a malware deployment

Malware, air-gapped makineye (supply chain, insider ya da fiziksel medya yoluyla) yerleştirilir. Unprivileged bir user-space process olarak çalışır ve kernel ya da root ayrıcalıkları gerektirmez. İzole bir virtual machine içinden de operasyon yapabilir.

Step 2 — Magnetic field modülasyonu

Malware, yayılan magnetic field'i modüle etmek için bir ya da daha fazla core üzerinde CPU-intensive workload'lar (sıkı compute loop'ları) ve idle periyotlar schedule eder. On-Off Keying (OOK) doğal bir encoding'dir: bir compute burst'ü bir 1 biti, bir idle periyot bir 0 biti temsil eder.

// Simplified MAGNETO transmitter loop (conceptual)
for (int i = 0; i < bits_to_send; i++) {
    if (bit[i] == 1) {
        // Emit high magnetic field: CPU-intensive spin
        spin_for_duration(BIT_DURATION_MS);
    } else {
        // Emit low magnetic field: idle sleep
        sleep_for_duration(BIT_DURATION_MS);
    }
}

Step 3 — Akıllı telefon magnetometer'ı ile resepsiyon

Hedef makinenin yakınına yerleştirilen bir akıllı telefon, yerleşik üç eksenli magnetometer'ından sample alır. MAGNETO receiver uygulaması sensor stream'ini okur ve bit sequence'ini geri kazanmak için signal processing (filtering, thresholding) uygular.

??? Conceptual magnetometer reading (attacker smartphone):
  t=0ms:  B = 45.2 µT  (baseline)
  t=10ms: B = 47.8 µT  (CPU burst -> bit=1)
  t=20ms: B = 45.1 µT  (CPU idle  -> bit=0)
  t=30ms: B = 47.9 µT  (CPU burst -> bit=1)
  Decoded: 1 0 1 ...

Step 4 — Data relay

Akıllı telefon, decode edilmiş data'yı internet bağlantısı (cellular data ya da Wi-Fi) üzerinden attacker'a forward eder ve air-gapped host'tan attacker'a olan exfiltration'ı tamamlar.

Faraday kafesi uyarısı

Paper, channel'ın akıllı telefon bir Faraday shielding kılıfının içine yerleştirildiğinde bile çalıştığını gösterir; çünkü böyle kılıflar tipik olarak radio-frequency sinyallerini bloklar ama CPU güç varyasyonlarının ürettiği extremely-low-frequency (ELF) magnetic field'lere karşı daha az etkilidir.

Pratik sınırlamalar

Channel düşük bit rate'lerde çalışır (encryption key'leri ya da parolalar gibi kısa secret'lar için yeterli, ama bulk data için değil). Akıllı telefon ile air-gapped makine arasında fiziksel yakınlık gerekir. Saldırı, akıllı telefondaki uçak modu ile engellenmez (magnetometer aktif kalır); resepsiyonu yalnızca akıllı telefonun çevreden fiziksel olarak kaldırılması mitigate eder.

Detection

  • Anomalous CPU load pattern'leri: Air-gapped host üzerindeki security monitoring araçları, maksimum CPU utilization ile idle state'ler arasında olağandışı, periyodik dönüşüm sergileyen process'lere — özellikle bit-rate encoding'e özgü saniye-altı periyodiklikle — alarm verebilir.
  • Magnetic field monitoring: Tesisteki özel bir magnetic field sensor'ı ya da TEMPEST düzeyinde bir monitoring sistemi, hedef makineden gelen anormal emisyonları tespit edebilir.
  • Akıllı telefon tespiti: Güvenli odalarda akıllı telefonları ya da diğer mobil cihazları yasaklayan fiziksel güvenlik politikaları, channel'ın receiver tarafını ele alır.
  • Process behavior analysis: Meşru uygulama davranışına karşılık gelmeyen, tutarlı timing'e sahip spinning/sleep pattern'lerinin host tabanlı tespiti.

Mitigation

  • Physical access control: Air-gapped makineler içeren güvenli alanlarda akıllı telefonları ve magnetometer'lı diğer cihazları yasaklayın. Bu, receiver'ı ortadan kaldırır.
  • Application whitelisting ve process isolation: Malware deployment olanaklarını sınırlamak için air-gapped host'larda hangi executable'ların çalışabileceğini kısıtlayın.
  • CPU kullanım politikaları: Herhangi bir user-space process'in CPU core'larını pattern'li, periyodik şekilde tekeline almasını engelleyen OS seviyesindeki kontroller (cgroups, process priority limit'leri).
  • TEMPEST düzeyinde shielding: Düşük frekanslı magnetic emisyonları zayıflatan tüm-oda TEMPEST shielding'i, channel'ın etkili menzilini azaltabilir; ancak çok yakın menzilde tamamen ortadan kaldırmaz.
  • Randomized scheduling noise: CPU scheduler timeslice'larına rastgele perturbasyonlar eklemek, covert channel'ın signal-to-noise oranını bozar; bu da ulaşılabilir bit rate'leri ve güvenilirliği azaltır.
  • Akıllı telefonlar için network segmentation: Bir akıllı telefon covert bir sinyal alsa bile, internete ulaşmasını engellemek (güvenli bölgede cellular jammer, uçak modu zorunluluğu) exfiltration path'ini kırar — ancak paper, uçak modunun magnetometer'ın kendisini devre dışı bırakmadığını belirtir.

References