Nuovo attacco RAMBO ruba dati da sistemi air-gapped tramite segnali radio RAM

Le minacce alla sicurezza informatica continuano a evolversi e un nuovo metodo di furto di dati chiamato attacco "RAMBO" rappresenta un rischio serio, anche per i sistemi air-gapped. Questa tecnica sofisticata, sviluppata da Mordechai Guri della Ben-Gurion University of the Negev in Israele, consente agli aggressori di esfiltrare dati utilizzando segnali radio emessi dalla memoria (RAM) di sistemi isolati. Analizziamo cosa significa e come influisce sulla sicurezza informatica.

Che cosa è un sistema con intercapedine d'aria?

I sistemi air-gapping sono progettati per essere fisicamente e logicamente separati da qualsiasi rete esterna, come Internet. Le organizzazioni utilizzano l'air-gapping come misura di sicurezza per proteggere i dati critici e sensibili dalle minacce informatiche. Tuttavia, mentre l'air-gapping migliora la sicurezza, non rende questi sistemi completamente immuni agli attacchi. Nel corso degli anni, diverse famiglie di malware , come Stuxnet , Fanny e PlugX , hanno preso di mira specificamente i sistemi air-gapping.

Come funziona l'attacco RAMBO?

L'attacco RAMBO (Radiated Memory Bus Oscillations) prende di mira i computer air-gapped sfruttando i segnali elettromagnetici generati dalla loro RAM. Ecco come funziona:

1. Distribuzione di malware : il primo passo dell'attacco è infettare il sistema air-gapped con malware. Ciò può avvenire tramite un'unità USB compromessa, un attacco interno o una vulnerabilità della supply chain che inietta il malware nell'hardware o nel software.
2. Codifica dei dati e trasmissione del segnale : una volta installato, il malware manipola la RAM del sistema per generare segnali elettromagnetici codificati. Il rapido trasferimento dei dati all'interno della RAM crea minuscole onde elettromagnetiche, che possono irradiare dati a frequenze specifiche.
3. Esfiltrazione dei dati : gli aggressori utilizzano hardware SDR (Software-Defined Radio) e un'antenna di base per catturare questi segnali fino a 7 metri (23 piedi) di distanza. Il malware codifica informazioni sensibili, come chiavi di crittografia, dati biometrici, immagini e sequenze di tasti, che vengono trasmesse tramite questi segnali radio. La velocità di esfiltrazione è di circa 1.000 bit al secondo, che, sebbene lenta, è più che sufficiente per far trapelare informazioni critiche.

Il metodo RAMBO in dettaglio

RAMBO è una nuova forma di comunicazione air-gap covert channel. Sfrutta le emissioni elettromagnetiche della RAM, che si verificano a causa di rapidi cambiamenti di tensione e corrente quando i dati vengono trasferiti. Queste emissioni sono direttamente influenzate da fattori quali la velocità di clock del sistema e la larghezza dei dati.

Controllando attentamente i pattern di accesso alla memoria, l'attaccante può generare un segnale binario. Questo segnale può quindi essere ricevuto e decodificato dall'attaccante utilizzando hardware SDR e un'antenna standard. Il ricercatore dietro questo metodo, Mordechai Guri, ha dimostrato con successo come questo attacco possa far trapelare dati da sistemi isolati a ricevitori vicini.

In che modo i sistemi air-gapped sono ancora vulnerabili?

Molti credono che i sistemi air-gapped siano intoccabili a causa del loro isolamento dalle reti, ma questo attacco dimostra il contrario. Il solo isolamento fisico non può proteggere da tecniche avanzate come l'attacco RAMBO, che sfrutta comportamenti hardware fondamentali che possono essere osservati e catturati in modalità wireless.

Sebbene esistano decine di ceppi di malware documentati che prendono di mira sistemi air-gapped, RAMBO presenta un rischio unico perché non richiede un accesso fisico diretto per esfiltrare i dati. L'aggressore deve solo infettare il sistema con il malware e avere un dispositivo per catturare i segnali elettromagnetici da una breve distanza.

Contromisure difensive contro gli attacchi RAMBO

Fortunatamente, esistono delle contromisure che possono aiutare a difendersi dagli attacchi in stile RAMBO:

1. Schermatura e gabbie di Faraday : racchiudere i sistemi critici in gabbie di Faraday può bloccare le emissioni elettromagnetiche, impedendo la trasmissione del segnale.
2. Generatori di rumore e di interferenza : l'impiego di jammer elettromagnetici o generatori di rumore può interferire con i segnali emessi dalla RAM, rendendo difficile per gli aggressori catturare dati chiari.
3. Rilevamento malware avanzato : il rafforzamento dei protocolli di rilevamento malware sui sistemi air-gap può aiutare a identificare ed eliminare le minacce prima che possano manipolare la RAM per generare segnali.
4. Riduzione delle emissioni elettromagnetiche : i produttori di hardware possono concentrarsi sulla progettazione di sistemi con emissioni elettromagnetiche ridotte, rendendo più difficile il successo di questi attacchi.

Considerazioni finali

L'attacco RAMBO dimostra la natura in evoluzione delle minacce informatiche, dimostrando che anche i sistemi air-gapped non sono invulnerabili. Comprendere come funzionano questi attacchi è fondamentale per sviluppare difese robuste. Le organizzazioni con dati altamente sensibili dovrebbero prendere in considerazione l'implementazione di misure di protezione come la schermatura del segnale e il miglioramento delle proprie capacità di rilevamento del malware per proteggersi da questa forma avanzata di furto di dati.

Per approfondimenti più dettagliati e gli ultimi aggiornamenti sulla sicurezza informatica, resta sintonizzato su EnigmaSoftware.com. Resta sempre un passo avanti ai criminali informatici rafforzando i tuoi sistemi e implementando le migliori difese contro minacce emergenti come l'attacco RAMBO.