Nieuwe RAMBO-aanval steelt gegevens van lucht-gapped systemen via RAM-radiosignalen

Cybersecuritybedreigingen blijven evolueren en een nieuwe methode van gegevensdiefstal, de "RAMBO"-aanval, vormt een ernstig risico, zelfs voor air-gapped systemen. Deze geavanceerde techniek, ontwikkeld door Mordechai Guri van de Ben-Gurion Universiteit van de Negev in Israël, stelt aanvallers in staat om gegevens te exfiltreren met behulp van radiosignalen die worden uitgezonden door het geheugen (RAM) van geïsoleerde systemen. Laten we eens kijken wat dit betekent en hoe het cybersecurity beïnvloedt.

Wat is een Air-Gapped-systeem?

Air-gapped systemen zijn ontworpen om fysiek en logisch gescheiden te zijn van externe netwerken, zoals het internet. Organisaties gebruiken air-gapping als beveiligingsmaatregel om kritieke en gevoelige gegevens te beschermen tegen cyberdreigingen. Hoewel air-gapping de beveiliging verbetert, maakt het deze systemen echter niet volledig immuun voor aanvallen. In de loop der jaren hebben verschillende malwarefamilies , zoals Stuxnet , Fanny en PlugX , zich specifiek gericht op air-gapped systemen.

Hoe werkt de RAMBO-aanval?

De RAMBO-aanval (Radiated Memory Bus Oscillations) richt zich op air-gapped computers door elektromagnetische signalen te exploiteren die gegenereerd worden door hun RAM. Dit is hoe het werkt:

1. Malware-implementatie : De eerste stap in de aanval is het infecteren van het air-gapped systeem met malware. Dit kan gebeuren via een gecompromitteerde USB-drive, een insider-aanval of een kwetsbaarheid in de toeleveringsketen die de malware in hardware of software injecteert.
2. Gegevenscodering en signaaloverdracht : Zodra de malware is geïnstalleerd, manipuleert het het RAM van het systeem om gecodeerde elektromagnetische signalen te genereren. De snelle overdracht van gegevens binnen het RAM creëert kleine elektromagnetische golven, die gegevens op specifieke frequenties kunnen uitstralen.
3. Data-exfiltratie : aanvallers gebruiken Software-Defined Radio (SDR)-hardware en een eenvoudige antenne om deze signalen op te vangen vanaf een afstand van maximaal 7 meter (23 voet). De malware codeert gevoelige informatie, zoals encryptiesleutels, biometrische gegevens, afbeeldingen en toetsaanslagen, die via deze radiosignalen worden verzonden. De exfiltratiesnelheid is ongeveer 1.000 bits per seconde, wat, hoewel langzaam, meer dan voldoende is om kritieke informatie te lekken.

De RAMBO-methode in detail

RAMBO is een nieuwe vorm van air-gap covert channel communicatie. Het maakt gebruik van de elektromagnetische emissies van RAM, die optreden door snelle spannings- en stroomveranderingen wanneer gegevens worden overgedragen. Deze emissies worden direct beïnvloed door factoren zoals de kloksnelheid en databreedte van het systeem.

Door zorgvuldig geheugentoegangspatronen te controleren, kan de aanvaller een binair signaal genereren. Dit signaal kan vervolgens door de aanvaller worden ontvangen en gedecodeerd met behulp van SDR-hardware en een standaardantenne. De onderzoeker achter deze methode, Mordechai Guri, heeft met succes aangetoond hoe deze aanval gegevens van geïsoleerde systemen naar nabijgelegen ontvangers kan lekken.

Hoe zijn air-gapped systemen nog steeds kwetsbaar?

Velen geloven dat air-gapped systemen onaantastbaar zijn vanwege hun isolatie van netwerken, maar deze aanval bewijst het tegendeel. Fysieke isolatie alleen kan geen bescherming bieden tegen geavanceerde technieken zoals de RAMBO-aanval, die fundamenteel hardwaregedrag misbruikt dat draadloos kan worden waargenomen en vastgelegd.

Hoewel er tientallen gedocumenteerde malware-stammen zijn die gericht zijn op air-gapped systemen, vormt RAMBO een uniek risico omdat het geen directe fysieke toegang vereist om data te exfiltreren. De aanvaller hoeft alleen het systeem te infecteren met de malware en een apparaat te hebben om de elektromagnetische signalen van een korte afstand op te vangen.

Defensieve tegenmaatregelen tegen RAMBO-aanvallen

Gelukkig zijn er tegenmaatregelen die kunnen helpen bij de verdediging tegen RAMBO-achtige aanvallen:

1. Afscherming en kooien van Faraday : Door kritische systemen in kooien van Faraday te plaatsen, kunnen elektromagnetische emissies worden geblokkeerd, waardoor de signaaloverdracht wordt verhinderd.
2. Stoorzenders en ruisgeneratoren : Het gebruik van elektromagnetische stoorzenders of ruisgeneratoren kan de signalen die door RAM worden uitgezonden verstoren, waardoor het voor aanvallers lastig wordt om duidelijke gegevens te bemachtigen.
3. Verbeterde detectie van malware : door de protocollen voor malwaredetectie op air-gapped systemen te versterken, kunnen bedreigingen worden geïdentificeerd en geëlimineerd voordat ze het RAM-geheugen kunnen manipuleren om signalen te genereren.
4. Vermindering van elektromagnetische emissies : Hardwarefabrikanten kunnen zich richten op het ontwerpen van systemen met verminderde elektromagnetische emissies, waardoor deze aanvallen moeilijker kunnen slagen.

Laatste gedachten

De RAMBO-aanval toont de evoluerende aard van cyberdreigingen aan en bewijst dat zelfs air-gapped systemen niet onkwetsbaar zijn. Begrijpen hoe deze aanvallen werken, is essentieel voor het ontwikkelen van robuuste verdedigingen. Organisaties met zeer gevoelige gegevens moeten overwegen om beschermende maatregelen te implementeren, zoals signaalafscherming en het verbeteren van hun malwaredetectiemogelijkheden om zich te beschermen tegen deze geavanceerde vorm van gegevensdiefstal.

Voor meer gedetailleerde inzichten en de laatste updates in computerbeveiliging, blijf op de hoogte van EnigmaSoftware.com. Blijf cybercriminelen altijd een stap voor door uw systemen te versterken en de beste verdedigingen te implementeren tegen opkomende bedreigingen zoals de RAMBO-aanval.