Nowy atak RAMBO kradnie dane z systemów odizolowanych od sieci za pośrednictwem sygnałów radiowych RAM

Zagrożenia cyberbezpieczeństwa wciąż ewoluują, a nowa metoda kradzieży danych zwana atakiem „RAMBO” stanowi poważne ryzyko, nawet dla systemów odizolowanych od sieci. Ta wyrafinowana technika, opracowana przez Mordechaja Guriego z Uniwersytetu Ben-Guriona w Negewie w Izraelu, pozwala atakującym na eksfiltrację danych za pomocą sygnałów radiowych emitowanych przez pamięć (RAM) odizolowanych systemów. Przyjrzyjmy się bliżej, co to oznacza i jak wpływa na cyberbezpieczeństwo.

Czym jest system z izolacją powietrzną?

Systemy z izolacją powietrzną są projektowane tak, aby były fizycznie i logicznie oddzielone od wszelkich sieci zewnętrznych, takich jak internet. Organizacje stosują izolację powietrzną jako środek bezpieczeństwa w celu ochrony krytycznych i poufnych danych przed zagrożeniami cybernetycznymi. Jednak, chociaż izolacja powietrzna poprawia bezpieczeństwo, nie czyni tych systemów całkowicie odpornymi na ataki. Na przestrzeni lat kilka rodzin złośliwego oprogramowania , takich jak Stuxnet , Fanny i PlugX , celowało specjalnie w systemy z izolacją powietrzną.

Jak działa atak RAMBO?

Atak RAMBO (Radiated Memory Bus Oscillations) jest skierowany na komputery z izolacją powietrzną, wykorzystując sygnały elektromagnetyczne generowane przez ich pamięć RAM. Oto jak to działa:

1. Wdrożenie złośliwego oprogramowania : Pierwszym krokiem ataku jest zainfekowanie odizolowanego od sieci systemu złośliwym oprogramowaniem. Może się to zdarzyć za pośrednictwem naruszonego dysku USB, ataku wewnętrznego lub luki w łańcuchu dostaw, która wstrzykuje złośliwe oprogramowanie do sprzętu lub oprogramowania.
2. Kodowanie danych i transmisja sygnału : Po zainstalowaniu złośliwego oprogramowania manipuluje ono pamięcią RAM systemu, aby generować zakodowane sygnały elektromagnetyczne. Szybki transfer danych w pamięci RAM tworzy maleńkie fale elektromagnetyczne, które mogą emitować dane o określonych częstotliwościach.
3. Eksfiltracja danych : atakujący używają sprzętu radiowego zdefiniowanego programowo (SDR) i podstawowej anteny, aby przechwytywać te sygnały z odległości do 7 metrów (23 stóp). Złośliwe oprogramowanie koduje poufne informacje, takie jak klucze szyfrujące, dane biometryczne, obrazy i naciśnięcia klawiszy, które są przesyłane za pomocą tych sygnałów radiowych. Szybkość eksfiltracji wynosi około 1000 bitów na sekundę, co, choć wolne, jest więcej niż wystarczające do wycieku krytycznych informacji.

Metoda RAMBO w szczegółach

RAMBO to nowatorska forma komunikacji kanałowej typu air-gap. Wykorzystuje ona emisje elektromagnetyczne z pamięci RAM, które występują z powodu szybkich zmian napięcia i prądu podczas przesyłania danych. Na emisje te bezpośrednio wpływają takie czynniki, jak prędkość zegara systemu i szerokość danych.

Poprzez ostrożne kontrolowanie wzorców dostępu do pamięci atakujący może wygenerować sygnał binarny. Sygnał ten może być następnie odebrany i zdekodowany przez atakującego za pomocą sprzętu SDR i standardowej anteny. Badacz stojący za tą metodą, Mordechai Guri, pomyślnie zademonstrował, jak ten atak może spowodować wyciek danych z odizolowanych systemów do pobliskich odbiorników.

Dlaczego systemy odizolowane od sieci są nadal podatne na ataki?

Wielu uważa, że systemy z izolacją od sieci są nietykalne, ponieważ są odizolowane od sieci, ale ten atak dowodzi czegoś innego. Sama izolacja fizyczna nie chroni przed zaawansowanymi technikami, takimi jak atak RAMBO, który wykorzystuje podstawowe zachowania sprzętowe, które można obserwować i przechwytywać bezprzewodowo.

Chociaż istnieją dziesiątki udokumentowanych szczepów złośliwego oprogramowania atakujących systemy z izolacją powietrzną, RAMBO stanowi wyjątkowe ryzyko, ponieważ nie wymaga bezpośredniego dostępu fizycznego do wykradzenia danych. Atakujący musi jedynie zainfekować system złośliwym oprogramowaniem i mieć urządzenie do przechwytywania sygnałów elektromagnetycznych z niewielkiej odległości.

Środki obronne przeciwko atakom RAMBO

Na szczęście istnieją środki zaradcze, które mogą pomóc w obronie przed atakami w stylu RAMBO:

1. Ekranowanie i klatki Faradaya : Umieszczenie ważnych systemów w klatkach Faradaya może zablokować emisję elektromagnetyczną, uniemożliwiając przesyłanie sygnału.
2. Zakłócanie i generatory szumów : Stosowanie zagłuszaczy elektromagnetycznych lub generatorów szumów może zakłócać sygnały emitowane przez pamięć RAM, utrudniając atakującym przechwycenie jawnych danych.
3. Ulepszone wykrywanie złośliwego oprogramowania : Wzmocnienie protokołów wykrywania złośliwego oprogramowania w systemach odizolowanych od sieci może pomóc w identyfikowaniu i eliminowaniu zagrożeń zanim zdążą one zmanipulować pamięć RAM w celu generowania sygnałów.
4. Zmniejszenie emisji elektromagnetycznej : Producenci sprzętu mogą skupić się na projektowaniu systemów o zmniejszonej emisji elektromagnetycznej, co utrudni przeprowadzenie tego typu ataków.

Ostatnie przemyślenia

Atak RAMBO pokazuje ewolucyjną naturę zagrożeń cybernetycznych, udowadniając, że nawet systemy z izolacją powietrzną nie są niezniszczalne. Zrozumienie, jak działają te ataki, jest kluczowe dla opracowania solidnych zabezpieczeń. Organizacje z bardzo wrażliwymi danymi powinny rozważyć wdrożenie środków ochronnych, takich jak ekranowanie sygnału i ulepszenie możliwości wykrywania złośliwego oprogramowania, aby zabezpieczyć się przed tą zaawansowaną formą kradzieży danych.

Aby uzyskać bardziej szczegółowe informacje i najnowsze aktualizacje dotyczące bezpieczeństwa komputerowego, bądź na bieżąco z EnigmaSoftware.com. Zawsze bądź o krok przed cyberprzestępcami, wzmacniając swoje systemy i wdrażając najlepsze zabezpieczenia przed pojawiającymi się zagrożeniami, takimi jak atak RAMBO.