Noul atac RAMBO fură date de la sistemele cu aer întrerupt prin semnale radio RAM

Până în Mura în Securitatea computerelor

Tradu in:

Amenințările la adresa securității cibernetice continuă să evolueze, iar o nouă metodă de furt de date numită atacul „RAMBO” prezintă un risc serios, chiar și pentru sistemele cu aer întrerupt. Această tehnică sofisticată, dezvoltată de Mordechai Guri de la Universitatea Ben-Gurion din Negev din Israel, permite atacatorilor să exfiltreze date folosind semnale radio emise de memoria (RAM) a sistemelor izolate. Să dezvăluim ce înseamnă acest lucru și cum afectează securitatea cibernetică.

Cuprins

Ce este un sistem Air-Gapped?

Sistemele cu aer întrefier sunt proiectate pentru a fi separate fizic și logic de orice rețele externe, cum ar fi internetul. Organizațiile folosesc air-gapping ca măsură de securitate pentru a proteja datele critice și sensibile de amenințările cibernetice. Cu toate acestea, în timp ce întreruperea de aer îmbunătățește securitatea, aceasta nu face aceste sisteme complet imune la atacuri. De-a lungul anilor, mai multe familii de programe malware , cum ar fi Stuxnet , Fanny și PlugX , au vizat în mod special sistemele cu aer întrerupt.

Cum funcționează atacul RAMBO?

Atacul RAMBO (Radiated Memory Bus Oscillations) vizează computerele cu aer întrefier prin exploatarea semnalelor electromagnetice generate de memoria lor RAM. Iată cum funcționează:

Implementarea programelor malware : primul pas în atac este infectarea sistemului cu malware. Acest lucru se poate întâmpla printr-o unitate USB compromisă, un atac din interior sau o vulnerabilitate a lanțului de aprovizionare care injectează malware-ul în hardware sau software.
Codificarea datelor și transmiterea semnalului : Odată instalat malware-ul, acesta manipulează memoria RAM a sistemului pentru a genera semnale electromagnetice codificate. Transferul rapid de date în memoria RAM creează unde electromagnetice minuscule, care pot radia date la frecvențe specifice.
Exfiltrarea datelor : Atacatorii folosesc hardware-ul Software-Defined Radio (SDR) și o antenă de bază pentru a capta aceste semnale de la până la 7 metri (23 de picioare) distanță. Malware-ul codifică informații sensibile, cum ar fi chei de criptare, date biometrice, imagini și apăsări de taste, care sunt transmise prin aceste semnale radio. Rata de exfiltrare este de aproximativ 1.000 de biți pe secundă, care, deși lent, este mai mult decât suficientă pentru a scurge informații critice.

Metoda RAMBO în detaliu

RAMBO este o formă inedită de comunicare prin canal secret. Ea valorifică emisiile electromagnetice din RAM, care apar din cauza schimbărilor rapide de tensiune și curent atunci când datele sunt transferate. Aceste emisii sunt direct influențate de factori precum viteza de ceas a sistemului și lățimea datelor.

Controlând cu atenție tiparele de acces la memorie, atacatorul poate genera un semnal binar. Acest semnal poate fi apoi primit și decodat de către atacator folosind hardware SDR și o antenă standard. Cercetătorul din spatele acestei metode, Mordechai Guri, a demonstrat cu succes modul în care acest atac poate scurge date de la sisteme izolate către receptorii din apropiere.

Cum sunt încă vulnerabile sistemele cu gol?

Mulți cred că sistemele cu decalaj sunt de neatins datorită izolării lor de rețele, dar acest atac dovedește contrariul. Izolarea fizică singură nu poate proteja împotriva tehnicilor avansate precum atacul RAMBO, care exploatează comportamentele hardware fundamentale care pot fi observate și capturate fără fir.

Deși există zeci de tulpini de malware documentate care vizează sistemele cu întreruperi de aer, RAMBO prezintă un risc unic, deoarece nu necesită acces fizic direct pentru a exfiltra datele. Atacatorul trebuie doar să infecteze sistemul cu malware și să aibă un dispozitiv care să capteze semnalele electromagnetice de la o distanță scurtă.

Contramăsuri defensive împotriva atacurilor RAMBO

Din fericire, există contramăsuri care pot ajuta la apărarea împotriva atacurilor în stil RAMBO:

Ecranarea și cuștile Faraday : Închiderea sistemelor critice în cuști Faraday poate bloca emisiile electromagnetice, prevenind transmiterea semnalului.
Bruiaj și generatoare de zgomot : Implementarea bruiajelor electromagnetice sau generatoarelor de zgomot poate interfera cu semnalele emise de RAM, făcând dificil pentru atacatori să capteze date clare.
Detectare îmbunătățită a programelor malware : Întărirea protocoalelor de detectare a malware-ului pe sistemele cu aer întrerupt poate ajuta la identificarea și eliminarea amenințărilor înainte ca acestea să poată manipula memoria RAM pentru a genera semnale.
Reducerea emisiilor electromagnetice : Producătorii de hardware se pot concentra pe proiectarea sistemelor cu emisii electromagnetice reduse, ceea ce face mai dificilă succesul acestor atacuri.

Gânduri finale

Atacul RAMBO demonstrează natura în evoluție a amenințărilor cibernetice, demonstrând că nici măcar sistemele cu aer întrerupt nu sunt invulnerabile. Înțelegerea modului în care funcționează aceste atacuri este esențială pentru dezvoltarea unor apărări robuste. Organizațiile cu date extrem de sensibile ar trebui să ia în considerare implementarea unor măsuri de protecție, cum ar fi ecranarea semnalului și îmbunătățirea capacităților lor de detectare a malware-ului pentru a se proteja împotriva acestei forme avansate de furt de date.

Pentru informații mai detaliate și cele mai recente actualizări în domeniul securității computerelor, rămâneți la curent cu EnigmaSoftware.com. Rămâneți întotdeauna cu un pas înaintea infractorilor cibernetici, consolidându-vă sistemele și implementând cele mai bune apărări împotriva amenințărilor emergente, cum ar fi atacul RAMBO.

SpyHunter pentru Windows de la EnigmaSoft a obținut certificarea AV-TEST

Căutare

Schimbați regiunea