Onderzoekers van de Israëlische Ben-Gurion Universiteit hebben malware ontwikkeld waarmee het mogelijk is voor een aanvaller om een computer die niet met internet is verbonden op een afstand van 900 meter via een aangesloten scanner opdrachten te geven. Vanwege het risico op aanvallen is het een veel gegeven advies om computers met vertrouwelijke data niet op internet aan te sluiten.

Een offline computer kan echter nog steeds worden geïnfecteerd, bijvoorbeeld via usb-sticks of een kwaadwillende werknemer. Om vervolgens van een besmette offline computer toch data te kunnen stelen ontwikkelden onderzoekers de afgelopen tijd verschillende methodes, zoals het gebruik van speakers, geluid van de harde schijf, ventilatoren, radiogolven, afgegeven warmte, usb-straling en mobiele telefoons om de gegevens direct naar de aanvaller of een wel met internet verbonden besmette computer of smartphone in de buurt terug te sturen.

De onderzoekers besloten nu eens te kijken hoe ze een besmette offline computer op afstand kunnen besturen en opdrachten geven. Hiervoor wordt de lichtgevoeligheid van de scanner gebruikt. Een aanvaller kan een lichtsignaal naar de scanner sturen, dat vervolgens door de malware op de computer wordt verwerkt en uitgevoerd. Het lichtsignaal kan bijvoorbeeld van een drone of gehackte slimme lamp afkomstig zijn.

Op deze manier fungeert de scanner, die op een computer of het netwerk is aangesloten, als een "gateway" waardoor de aanvaller met besmette computers in een organisatie kan communiceren. Afhankelijk van de sterkte van de laser kunnen er over een afstand van 900 meter opdrachten worden verstuurd. Het is hiervoor wel nodig dat de aanvaller direct zicht op de scanner heeft. Is dit niet het geval, dan kunnen de lichtsignalen ook via een gehackte IoT-lamp worden verstuurd, zo laten de onderzoekers zien.

"Onze methode is effectief bij een gedeeltelijk of volledig open scanner", aldus de onderzoekers. In het geval de flatbedscanner in zijn geheel was gesloten lukte het niet om de lichtsignalen naar het apparaat te sturen. "Aangezien de meeste organisaties het niet verplichten om scanners na elke scan te sluiten, en het ook niet is uit te sluiten dat een aanvaller een werknemer betaalt om de scanner opzettelijk open te laten, zijn er mogelijkheden om onze methode te gebruiken", zo laten de onderzoekers verder weten (pdf).

Oplossing

Er zijn verschillende oplossingen om dergelijke aanvallen te voorkomen, zoals ervoor zorgen dat de scanner niet direct zichtbaar is, het sluiten van de scanner na elke scan of ervoor zorgen dat de scanner geen netwerktoegang heeft. De beste oplossing is volgens de onderzoekers het gebruik van een proxy. De scanner wordt hierbij aan een computer aangesloten die netwerktoegang heeft in plaats van dat de scanner direct verbinding met het netwerk heeft. De computer kan vervolgens op kwaadaardige scans controleren. Hieronder een video van de onderzoekers waarbij ze via een drone opdrachten naar een scanner sturen.