Нова атака на RAMBO краде данни от системи с въздушна междина чрез RAM радиосигнали

Заплахите за киберсигурността продължават да се развиват и нов метод за кражба на данни, наречен атака „RAMBO“, представлява сериозен риск дори за системите с въздушна междина. Тази усъвършенствана техника, разработена от Мордехай Гури от университета Бен-Гурион в Негев в Израел, позволява на нападателите да ексфилтрират данни, използвайки радиосигнали, излъчвани от паметта (RAM) на изолирани системи. Нека да разберем какво означава това и как се отразява на киберсигурността.

Какво е система с въздушна междина?

Системите с въздушна междина са проектирани да бъдат физически и логически отделени от всякакви външни мрежи, като например интернет. Организациите използват air-gapping като мярка за сигурност за защита на критични и чувствителни данни от киберзаплахи. Въпреки това, въпреки че въздушната междина подобрява сигурността, тя не прави тези системи напълно имунизирани срещу атаки. През годините няколко фамилии злонамерен софтуер , като Stuxnet , Fanny и PlugX , са насочени специално към системи с въздушна междина.

Как работи атаката на RAMBO?

Атаката RAMBO (излъчени колебания на шината на паметта) е насочена към компютри с въздушна междина, като използва електромагнитни сигнали, генерирани от тяхната RAM памет. Ето как работи:

1. Внедряване на зловреден софтуер : Първата стъпка в атаката е да заразите системата със зловреден софтуер. Това може да се случи чрез компрометирано USB устройство, вътрешна атака или уязвимост на веригата за доставки, която инжектира зловреден софтуер в хардуер или софтуер.
2. Кодиране на данни и предаване на сигнали : След като зловредният софтуер е инсталиран, той манипулира RAM паметта на системата, за да генерира кодирани електромагнитни сигнали. Бързото прехвърляне на данни в рамките на RAM създава малки електромагнитни вълни, които могат да излъчват данни на определени честоти.
3. Извличане на данни : Нападателите използват хардуер за софтуерно дефинирано радио (SDR) и основна антена, за да уловят тези сигнали от разстояние до 7 метра (23 фута). Зловреден софтуер кодира чувствителна информация, като ключове за криптиране, биометрични данни, изображения и натискания на клавиши, която се предава чрез тези радиосигнали. Скоростта на ексфилтрация е около 1000 бита в секунда, което, макар и бавно, е повече от достатъчно за изтичане на критична информация.

Методът RAMBO в детайли

RAMBO е нова форма на комуникация по скрит канал с въздушна междина. Той използва електромагнитните емисии от RAM, които възникват поради бързи промени на напрежението и тока при прехвърляне на данни. Тези емисии са пряко повлияни от фактори като тактовата честота на системата и ширината на данните.

Чрез внимателно контролиране на моделите за достъп до паметта, атакуващият може да генерира двоичен сигнал. След това този сигнал може да бъде получен и декодиран от нападателя с помощта на SDR хардуер и стандартна антена. Изследователят зад този метод, Мордехай Гури, успешно демонстрира как тази атака може да изтече данни от изолирани системи към близките приемници.

Как системите с въздушна междина са все още уязвими?

Мнозина смятат, че системите с въздушна междина са недосегаеми поради тяхната изолация от мрежите, но тази атака доказва обратното. Физическата изолация сама по себе си не може да защити срещу усъвършенствани техники като атаката RAMBO, която използва фундаментални хардуерни поведения, които могат да бъдат наблюдавани и уловени безжично.

Въпреки че има десетки документирани щамове на злонамерен софтуер, насочен към системи с въздушна междина, RAMBO представлява уникален риск, тъй като не изисква директен физически достъп за ексфилтриране на данни. Нападателят трябва само да зарази системата със зловреден софтуер и да има устройство за улавяне на електромагнитните сигнали от кратко разстояние.

Защитни контрамерки срещу атаки на RAMBO

За щастие, има контрамерки, които могат да помогнат за защита срещу атаки в стил RAMBO:

1. Екраниране и клетки на Фарадей : Заграждането на критични системи във клетки на Фарадей може да блокира електромагнитните емисии, предотвратявайки предаването на сигнал.
2. Генератори на заглушаване и шум : Разполагането на електромагнитни заглушители или генератори на шум може да попречи на сигналите, излъчвани от RAM, което затруднява нападателите да уловят ясни данни.
3. Подобрено откриване на злонамерен софтуер : Укрепването на протоколите за откриване на злонамерен софтуер на системи с въздушна междина може да помогне за идентифициране и премахване на заплахи, преди те да могат да манипулират RAM за генериране на сигнали.
4. Намаляване на електромагнитните емисии : производителите на хардуер могат да се съсредоточат върху проектирането на системи с намалени електромагнитни емисии, което прави по-трудно успешните атаки.

Последни мисли

Атаката RAMBO демонстрира развиващия се характер на киберзаплахите, доказвайки, че дори системите с въздушна междина не са неуязвими. Разбирането как работят тези атаки е от ключово значение за разработването на стабилни защити. Организациите със силно чувствителни данни трябва да обмислят прилагането на защитни мерки като екраниране на сигнала и подобряване на възможностите си за откриване на зловреден софтуер, за да се предпазят от тази усъвършенствана форма на кражба на данни.

За по-подробна информация и най-новите актуализации в компютърната сигурност, следете EnigmaSoftware.com. Винаги бъдете една крачка пред киберпрестъпниците, като подсилите системите си и внедрите най-добрите защити срещу възникващи заплахи като атаката RAMBO.