Nytt RAMBO-angrep stjeler data fra Air-Gapped-systemer via RAM-radiosignaler

Nettsikkerhetstrusler fortsetter å utvikle seg, og en ny metode for datatyveri kalt «RAMBO»-angrepet utgjør en alvorlig risiko, selv for systemer med lufthull. Denne sofistikerte teknikken, utviklet av Mordechai Guri fra Ben-Gurion University of the Negev i Israel, lar angripere eksfiltrere data ved å bruke radiosignaler som sendes ut av minnet (RAM) til isolerte systemer. La oss bryte ned hva dette betyr og hvordan det påvirker cybersikkerhet.

Hva er et Air-Gapped-system?

Systemer med luftgap er designet for å være fysisk og logisk atskilt fra eksterne nettverk, for eksempel internett. Organisasjoner bruker luftgaping som et sikkerhetstiltak for å beskytte kritiske og sensitive data mot cybertrusler. Men mens luftgaping forbedrer sikkerheten, gjør det ikke disse systemene helt immune mot angrep. I løpet av årene har flere malware-familier , som Stuxnet , Fanny og PlugX , spesifikt målrettet mot lufthullssystemer.

Hvordan fungerer RAMBO-angrepet?

RAMBO-angrepet (Radiated Memory Bus Oscillations) retter seg mot datamaskiner med luftgap ved å utnytte elektromagnetiske signaler generert fra RAM-en deres. Slik fungerer det:

1. Implementering av skadelig programvare : Det første trinnet i angrepet er å infisere det luftgappede systemet med skadelig programvare. Dette kan skje gjennom en kompromittert USB-stasjon, et innsideangrep eller en sårbarhet i forsyningskjeden som injiserer skadelig programvare i maskinvare eller programvare.
2. Datakoding og signaloverføring : Når skadelig programvare er installert, manipulerer den systemets RAM for å generere kodede elektromagnetiske signaler. Den raske overføringen av data i RAM-en skaper små elektromagnetiske bølger, som kan utstråle data ved bestemte frekvenser.
3. Dataeksfiltrering : Angripere bruker Software-Defined Radio (SDR) maskinvare og en grunnleggende antenne for å fange opp disse signalene fra opptil 7 meter (23 fot) unna. Skadevaren koder for sensitiv informasjon, som krypteringsnøkler, biometriske data, bilder og tastetrykk, som overføres via disse radiosignalene. Eksfiltrasjonshastigheten er rundt 1000 bits per sekund, som selv om den er sakte, er mer enn tilstrekkelig til å lekke kritisk informasjon.

RAMBO-metoden i detalj

RAMBO er en ny form for luftgap skjult kanalkommunikasjon. Den utnytter de elektromagnetiske utslippene fra RAM, som oppstår på grunn av raske spennings- og strømendringer når data overføres. Disse utslippene påvirkes direkte av faktorer som systemets klokkehastighet og databredde.

Ved å kontrollere minnetilgangsmønstre nøye, kan angriperen generere et binært signal. Dette signalet kan deretter mottas og dekodes av angriperen ved hjelp av SDR-maskinvare og en standardantenne. Forskeren bak denne metoden, Mordechai Guri, demonstrerte vellykket hvordan dette angrepet kan lekke data fra isolerte systemer til nærliggende mottakere.

Hvordan er luftgapte systemer fortsatt sårbare?

Mange tror luftgapte systemer er uberørbare på grunn av deres isolasjon fra nettverk, men dette angrepet beviser det motsatte. Fysisk isolasjon alene kan ikke beskytte mot avanserte teknikker som RAMBO-angrepet, som utnytter grunnleggende maskinvareatferd som kan observeres og fanges opp trådløst.

Selv om det er titalls dokumenterte stammer av skadelig programvare som retter seg mot systemer med lufthull, utgjør RAMBO en unik risiko fordi den ikke krever direkte fysisk tilgang for å eksfiltrere data. Angriperen trenger bare å infisere systemet med skadelig programvare og ha en enhet for å fange opp de elektromagnetiske signalene på kort avstand.

Defensive mottiltak mot RAMBO-angrep

Heldigvis finnes det mottiltak som kan bidra til å forsvare seg mot angrep i RAMBO-stil:

1. Skjerming og Faraday-merder : Innkapsling av kritiske systemer i Faraday-merder kan blokkere elektromagnetiske utslipp, og forhindre signaloverføring.
2. Jamming og støygeneratorer : Utplassering av elektromagnetiske jammere eller støygeneratorer kan forstyrre signalene som sendes ut av RAM, noe som gjør det vanskelig for angripere å fange opp klare data.
3. Forbedret deteksjon av skadelig programvare : Styrking av protokollene for deteksjon av skadelig programvare på systemer med lufthull kan bidra til å identifisere og eliminere trusler før de kan manipulere RAM for å generere signaler.
4. Redusere elektromagnetiske utslipp : Maskinvareprodusenter kan fokusere på å designe systemer med reduserte elektromagnetiske utslipp, noe som gjør det vanskeligere for disse angrepene å lykkes.

Siste tanker

RAMBO-angrepet demonstrerer utviklingen av cybertrusler, og beviser at selv luftgapte systemer ikke er usårbare. Å forstå hvordan disse angrepene fungerer er nøkkelen til å utvikle robuste forsvar. Organisasjoner med svært sensitive data bør vurdere å implementere beskyttelsestiltak som signalskjerming og forbedre sine muligheter for oppdagelse av skadelig programvare for å beskytte seg mot denne avanserte formen for datatyveri.

For mer detaljert innsikt og de siste oppdateringene innen datasikkerhet, følg med på EnigmaSoftware.com. Vær alltid et skritt foran cyberkriminelle ved å styrke systemene dine og implementere det beste forsvaret mot nye trusler som RAMBO-angrepet.