Новая атака RAMBO крадет данные из изолированных систем с помощью радиосигналов RAM

Угрозы кибербезопасности продолжают развиваться, и новый метод кражи данных, называемый атакой «RAMBO», представляет серьезную опасность даже для изолированных систем. Эта сложная техника, разработанная Мордехаем Гури из Университета Бен-Гуриона в Негеве в Израиле, позволяет злоумышленникам извлекать данные с помощью радиосигналов, излучаемых памятью (RAM) изолированных систем. Давайте разберемся, что это значит и как это влияет на кибербезопасность.

Что такое система с воздушным зазором?

Системы с воздушным зазором разработаны так, чтобы быть физически и логически отделенными от любых внешних сетей, таких как Интернет. Организации используют воздушное зазор в качестве меры безопасности для защиты критически важных и конфиденциальных данных от киберугроз. Однако, хотя воздушное зазор повышает безопасность, оно не делает эти системы полностью неуязвимыми для атак. За эти годы несколько семейств вредоносных программ , таких как Stuxnet , Fanny и PlugX , специально нацелились на системы с воздушным зазором.

Как работает атака РЭМБО?

Атака RAMBO (Radiated Memory Bus Oscillations) нацелена на компьютеры с воздушным зазором, эксплуатируя электромагнитные сигналы, генерируемые их оперативной памятью. Вот как это работает:

1. Развертывание вредоносного ПО : первый шаг атаки — заражение изолированной системы вредоносным ПО. Это может произойти через скомпрометированный USB-накопитель, внутреннюю атаку или уязвимость цепочки поставок, которая внедряет вредоносное ПО в оборудование или программное обеспечение.
2. Кодирование данных и передача сигналов : После установки вредоносного ПО оно манипулирует оперативной памятью системы для генерации закодированных электромагнитных сигналов. Быстрая передача данных в оперативной памяти создает крошечные электромагнитные волны, которые могут излучать данные на определенных частотах.
3. Извлечение данных : злоумышленники используют аппаратное обеспечение Software-Defined Radio (SDR) и базовую антенну для захвата этих сигналов на расстоянии до 7 метров (23 футов). Вредоносная программа кодирует конфиденциальную информацию, такую как ключи шифрования, биометрические данные, изображения и нажатия клавиш, которая передается через эти радиосигналы. Скорость извлечения составляет около 1000 бит в секунду, что, хотя и медленно, более чем достаточно для утечки критически важной информации.

Метод РЭМБО в деталях

RAMBO — это новая форма скрытой связи через воздушный зазор. Она использует электромагнитные излучения RAM, которые возникают из-за быстрых изменений напряжения и тока при передаче данных. Эти излучения напрямую зависят от таких факторов, как тактовая частота системы и ширина данных.

Тщательно контролируя схемы доступа к памяти, злоумышленник может сгенерировать двоичный сигнал. Затем этот сигнал может быть получен и декодирован злоумышленником с помощью оборудования SDR и стандартной антенны. Исследователь этого метода Мордехай Гури успешно продемонстрировал, как эта атака может привести к утечке данных из изолированных систем в близлежащие приемники.

Почему изолированные системы все еще уязвимы?

Многие считают, что системы с воздушным зазором неприкосновенны из-за их изоляции от сетей, но эта атака доказывает обратное. Физическая изоляция сама по себе не может защитить от продвинутых методов, таких как атака RAMBO, которая использует фундаментальное поведение оборудования, которое можно наблюдать и фиксировать по беспроводной сети.

Хотя существуют десятки задокументированных штаммов вредоносного ПО, нацеленных на изолированные системы, RAMBO представляет собой уникальный риск, поскольку не требует прямого физического доступа для извлечения данных. Злоумышленнику нужно только заразить систему вредоносным ПО и иметь устройство для захвата электромагнитных сигналов с небольшого расстояния.

Защитные контрмеры против атак РЭМБО

К счастью, существуют контрмеры, которые могут помочь защититься от атак в стиле РЭМБО:

1. Экранирование и клетки Фарадея : помещение критически важных систем в клетки Фарадея может блокировать электромагнитное излучение, предотвращая передачу сигнала.
2. Генераторы помех и шума : использование электромагнитных глушилок или генераторов шума может помешать сигналам, излучаемым оперативной памятью, что затруднит злоумышленникам захват четких данных.
3. Улучшенное обнаружение вредоносных программ : усиление протоколов обнаружения вредоносных программ в изолированных системах может помочь выявить и устранить угрозы до того, как они смогут манипулировать оперативной памятью для генерации сигналов.
4. Сокращение электромагнитного излучения : производители оборудования могут сосредоточиться на разработке систем с уменьшенным электромагнитным излучением, что затруднит осуществление подобных атак.

Заключительные мысли

Атака RAMBO демонстрирует эволюционирующий характер киберугроз, доказывая, что даже системы с воздушным зазором не являются неуязвимыми. Понимание того, как работают эти атаки, является ключом к разработке надежной защиты. Организациям с высококонфиденциальными данными следует рассмотреть возможность внедрения защитных мер, таких как экранирование сигнала и улучшение возможностей обнаружения вредоносного ПО, чтобы защититься от этой продвинутой формы кражи данных.

Для более подробной информации и последних обновлений в области компьютерной безопасности следите за обновлениями на EnigmaSoftware.com. Всегда оставайтесь на шаг впереди киберпреступников, укрепляя свои системы и внедряя лучшие средства защиты от новых угроз, таких как атака RAMBO.