Nyt RAMBO-angreb stjæler data fra Air-Gapped-systemer via RAM-radiosignaler

Cybersikkerhedstrusler fortsætter med at udvikle sig, og en ny metode til datatyveri kaldet "RAMBO"-angrebet udgør en alvorlig risiko, selv for luftgappede systemer. Denne sofistikerede teknik, udviklet af Mordechai Guri fra Ben-Gurion University of the Negev i Israel, tillader angribere at eksfiltrere data ved hjælp af radiosignaler, der udsendes af hukommelsen (RAM) i isolerede systemer. Lad os nedbryde, hvad det betyder, og hvordan det påvirker cybersikkerhed.

Hvad er et Air-Gapped System?

Luftgappede systemer er designet til at være fysisk og logisk adskilt fra eksterne netværk, såsom internettet. Organisationer bruger luftgab som en sikkerhedsforanstaltning til at beskytte kritiske og følsomme data mod cybertrusler. Men selvom luftgab forbedrer sikkerheden, gør det ikke disse systemer helt immune over for angreb. I årenes løb har adskillige malware-familier , såsom Stuxnet , Fanny og PlugX , specifikt målrettet luftgappede systemer.

Hvordan virker RAMBO-angrebet?

RAMBO-angrebet (Radiated Memory Bus Oscillations) retter sig mod computere med luftgap ved at udnytte elektromagnetiske signaler genereret fra deres RAM. Sådan fungerer det:

1. Implementering af malware : Det første trin i angrebet er at inficere det luftgappede system med malware. Dette kan ske gennem et kompromitteret USB-drev, et insiderangreb eller en sårbarhed i forsyningskæden, der injicerer malwaren i hardware eller software.
2. Datakodning og signaltransmission : Når malwaren er installeret, manipulerer den systemets RAM til at generere kodede elektromagnetiske signaler. Den hurtige overførsel af data i RAM'en skaber små elektromagnetiske bølger, som kan udstråle data ved bestemte frekvenser.
3. Dataeksfiltrering : Angribere bruger Software-Defined Radio (SDR) hardware og en grundlæggende antenne til at fange disse signaler fra op til 7 meter (23 fod) væk. Malwaren koder for følsom information, såsom krypteringsnøgler, biometriske data, billeder og tastetryk, som transmitteres via disse radiosignaler. Eksfiltrationshastigheden er omkring 1.000 bits i sekundet, hvilket, selvom det er langsomt, er mere end tilstrækkeligt til at lække kritisk information.

RAMBO-metoden i detaljer

RAMBO er en ny form for air-gap skjult kanalkommunikation. Det udnytter de elektromagnetiske emissioner fra RAM, som opstår på grund af hurtige spændings- og strømændringer, når data overføres. Disse emissioner er direkte påvirket af faktorer som systemets clockhastighed og databredde.

Ved omhyggeligt at kontrollere hukommelsesadgangsmønstre kan angriberen generere et binært signal. Dette signal kan derefter modtages og afkodes af hackeren ved hjælp af SDR-hardware og en standardantenne. Forskeren bag denne metode, Mordechai Guri, demonstrerede med succes, hvordan dette angreb kan lække data fra isolerede systemer til nærliggende modtagere.

Hvordan er luftgappede systemer stadig sårbare?

Mange mener, at luftgappede systemer er urørlige på grund af deres isolation fra netværk, men dette angreb beviser det modsatte. Fysisk isolation alene kan ikke beskytte mod avancerede teknikker som RAMBO-angrebet, der udnytter grundlæggende hardwareadfærd, som kan observeres og fanges trådløst.

Mens der er snesevis af dokumenterede malware-stammer rettet mod luftgappede systemer, udgør RAMBO en unik risiko, fordi den ikke kræver direkte fysisk adgang til at eksfiltrere data. Angriberen behøver kun at inficere systemet med malwaren og have en enhed til at fange de elektromagnetiske signaler på kort afstand.

Defensive modforanstaltninger mod RAMBO-angreb

Heldigvis er der modforanstaltninger, der kan hjælpe med at forsvare sig mod angreb i RAMBO-stil:

1. Afskærmning og Faraday-bure : Indkapsling af kritiske systemer i Faraday-bure kan blokere elektromagnetiske emissioner, hvilket forhindrer signaltransmission.
2. Jamming og støjgeneratorer : Installation af elektromagnetiske jammere eller støjgeneratorer kan interferere med de signaler, der udsendes af RAM, hvilket gør det vanskeligt for angribere at fange klare data.
3. Forbedret malware-detektion : Styrkelse af malware-detektionsprotokoller på luftgappede systemer kan hjælpe med at identificere og eliminere trusler, før de kan manipulere RAM til at generere signaler.
4. Reduktion af elektromagnetiske emissioner : Hardwareproducenter kan fokusere på at designe systemer med reduceret elektromagnetisk emission, hvilket gør det sværere for disse angreb at lykkes.

Afsluttende tanker

RAMBO-angrebet demonstrerer udviklingen af cybertrusler og beviser, at selv luftgappede systemer ikke er usårlige. At forstå, hvordan disse angreb fungerer, er nøglen til at udvikle robuste forsvar. Organisationer med meget følsomme data bør overveje at implementere beskyttelsesforanstaltninger som signalafskærmning og forbedre deres malware-detektionsfunktioner for at beskytte sig mod denne avancerede form for datatyveri.

For mere detaljeret indsigt og de seneste opdateringer inden for computersikkerhed, følg med på EnigmaSoftware.com. Vær altid et skridt foran de cyberkriminelle ved at styrke dine systemer og implementere det bedste forsvar mod nye trusler som RAMBO-angrebet.