Nový útok RAMBO krade data ze systémů Air-Gapped prostřednictvím rádiových signálů RAM

Kybernetické hrozby se stále vyvíjejí a nová metoda krádeže dat zvaná „RAMBO“ útok představuje vážné riziko, a to i pro systémy se vzduchovou mezerou. Tato sofistikovaná technika, kterou vyvinul Mordechai Guri z Ben-Gurionovy univerzity v Negevu v Izraeli, umožňuje útočníkům exfiltrovat data pomocí rádiových signálů vysílaných pamětí (RAM) izolovaných systémů. Pojďme si rozebrat, co to znamená a jak to ovlivňuje kybernetickou bezpečnost.

Co je systém se vzduchovou mezerou?

Systémy se vzduchovou mezerou jsou navrženy tak, aby byly fyzicky a logicky odděleny od jakýchkoli externích sítí, jako je internet. Organizace používají air-gapping jako bezpečnostní opatření k ochraně důležitých a citlivých dat před kybernetickými hrozbami. Přestože air-gapping zlepšuje zabezpečení, nečiní tyto systémy zcela imunními vůči útokům. V průběhu let se několik rodin malwaru , jako jsou Stuxnet , Fanny a PlugX , konkrétně zaměřilo na systémy se vzduchovou mezerou.

Jak funguje RAMBO Attack?

Útok RAMBO (Radiated Memory Bus Oscillations) se zaměřuje na počítače se vzduchovou mezerou tím, že využívá elektromagnetické signály generované z jejich RAM. Funguje to takto:

1. Nasazení malwaru : Prvním krokem v útoku je infikování systému se vzduchovou mezerou malwarem. K tomu může dojít prostřednictvím kompromitovaného USB disku, vnitřního útoku nebo zranitelnosti dodavatelského řetězce, která vnese malware do hardwaru nebo softwaru.
2. Kódování dat a přenos signálu : Jakmile je malware nainstalován, manipuluje s RAM systému tak, aby generoval kódované elektromagnetické signály. Rychlý přenos dat v paměti RAM vytváří drobné elektromagnetické vlny, které mohou vyzařovat data na určitých frekvencích.
3. Exfiltrace dat : Útočníci používají hardware Software-Defined Radio (SDR) a základní anténu k zachycení těchto signálů ze vzdálenosti až 7 metrů (23 stop). Malware kóduje citlivé informace, jako jsou šifrovací klíče, biometrická data, obrázky a stisknutí kláves, které jsou přenášeny prostřednictvím těchto rádiových signálů. Rychlost exfiltrace se pohybuje kolem 1000 bitů za sekundu, což, i když je pomalé, je více než dostatečné k úniku kritických informací.

Metoda RAMBO v detailu

RAMBO je nová forma komunikace skrytého kanálu se vzduchovou mezerou. Využívá elektromagnetické emise z RAM, ke kterým dochází v důsledku rychlých změn napětí a proudu při přenosu dat. Tyto emise jsou přímo ovlivněny faktory, jako je rychlost hodin systému a šířka dat.

Pečlivým řízením vzorců přístupu do paměti může útočník generovat binární signál. Tento signál pak může útočník přijmout a dekódovat pomocí hardwaru SDR a standardní antény. Výzkumník za touto metodou, Mordechai Guri, úspěšně demonstroval, jak může tento útok uniknout data z izolovaných systémů do blízkých přijímačů.

Jak jsou systémy se vzduchovou mezerou stále zranitelné?

Mnozí věří, že systémy se vzduchovou mezerou jsou nedotknutelné kvůli jejich izolaci od sítí, ale tento útok dokazuje opak. Samotná fyzická izolace nemůže ochránit před pokročilými technikami, jako je útok RAMBO, který využívá základní chování hardwaru, které lze pozorovat a zachytit bezdrátově.

Zatímco existují desítky zdokumentovaných kmenů malwaru zaměřených na systémy se vzduchovou mezerou, RAMBO představuje jedinečné riziko, protože nevyžaduje přímý fyzický přístup k exfiltraci dat. Útočníkovi stačí infikovat systém malwarem a mít zařízení na zachycení elektromagnetických signálů na krátkou vzdálenost.

Obranná protiopatření proti útokům RAMBO

Naštěstí existují protiopatření, která mohou pomoci bránit se útokům ve stylu RAMBO:

1. Stínění a Faradayovy klece : Uzavření kritických systémů do Faradayových klecí může blokovat elektromagnetické emise a bránit přenosu signálu.
2. Rušení a generátory šumu : Nasazení elektromagnetických rušiček nebo generátorů šumu může rušit signály vysílané RAM, což útočníkům ztěžuje zachycení čistých dat.
3. Vylepšená detekce malwaru : Posílení protokolů detekce malwaru v systémech se vzduchovou mezerou může pomoci identifikovat a eliminovat hrozby dříve, než budou moci zmanipulovat RAM za účelem generování signálů.
4. Snížení elektromagnetických emisí : Výrobci hardwaru se mohou zaměřit na navrhování systémů se sníženým elektromagnetickým vyzařováním, což ztěžuje úspěch těchto útoků.

Závěrečné myšlenky

Útok RAMBO demonstruje vyvíjející se povahu kybernetických hrozeb a dokazuje, že ani systémy se vzduchovou mezerou nejsou nezranitelné. Pochopení toho, jak tyto útoky fungují, je klíčem k vývoji robustní obrany. Organizace s vysoce citlivými daty by měly zvážit implementaci ochranných opatření, jako je stínění signálu a zlepšení svých schopností detekce malwaru, aby se ochránily před touto pokročilou formou krádeže dat.

Chcete-li získat podrobnější informace a nejnovější aktualizace zabezpečení počítače, sledujte web EnigmaSoftware.com. Buďte vždy o krok napřed před kyberzločinci tím, že budete posilovat své systémy a implementovat nejlepší obranu proti vznikajícím hrozbám, jako je útok RAMBO.