Nový útok RAMBO kradne údaje zo systémov s medzerou vo vzduchu prostredníctvom rádiových signálov RAM

Do roku Mura v roku Počítačová bezpečnosť

Preložiť do:

Kybernetické hrozby sa naďalej vyvíjajú a nová metóda krádeže údajov nazývaná útok „RAMBO“ predstavuje vážne riziko, a to aj pre systémy so vzduchovou medzerou. Táto sofistikovaná technika, ktorú vyvinul Mordechai Guri z Ben-Gurion University v Negeve v Izraeli, umožňuje útočníkom exfiltrovať dáta pomocou rádiových signálov vysielaných pamäťou (RAM) izolovaných systémov. Poďme si rozobrať, čo to znamená a ako to ovplyvňuje kybernetickú bezpečnosť.

Obsah

Čo je systém so vzduchovou medzerou?

Systémy so vzduchovou medzerou sú navrhnuté tak, aby boli fyzicky a logicky oddelené od akýchkoľvek externých sietí, ako je napríklad internet. Organizácie používajú air-gapping ako bezpečnostné opatrenie na ochranu kritických a citlivých údajov pred kybernetickými hrozbami. Napriek tomu, že vzduchové medzery zlepšujú bezpečnosť, nerobia tieto systémy úplne imúnnymi voči útokom. V priebehu rokov sa niekoľko rodín malvéru , ako napríklad Stuxnet , Fanny a PlugX , špecificky zameralo na systémy so vzduchovou medzerou.

Ako funguje útok RAMBO?

Útok RAMBO (Radiated Memory Bus Oscillations) sa zameriava na počítače so vzduchovou medzerou využívaním elektromagnetických signálov generovaných z ich RAM. Funguje to takto:

Nasadenie malvéru : Prvým krokom v útoku je infikovanie systému so vzduchovou medzerou malvérom. Môže k tomu dôjsť prostredníctvom kompromitovanej jednotky USB, vnútorného útoku alebo zraniteľnosti dodávateľského reťazca, ktorá vloží malvér do hardvéru alebo softvéru.
Kódovanie údajov a prenos signálu : Po nainštalovaní malvéru manipuluje s pamäťou RAM systému, aby generoval kódované elektromagnetické signály. Rýchly prenos údajov v rámci pamäte RAM vytvára malé elektromagnetické vlny, ktoré môžu vyžarovať údaje na špecifických frekvenciách.
Exfiltrácia dát : Útočníci používajú softvérovo definované rádio (SDR) hardvér a základnú anténu na zachytenie týchto signálov zo vzdialenosti až 7 metrov (23 stôp). Malvér kóduje citlivé informácie, ako sú šifrovacie kľúče, biometrické údaje, obrázky a stlačenia klávesov, ktoré sa prenášajú prostredníctvom týchto rádiových signálov. Rýchlosť exfiltrácie je okolo 1 000 bitov za sekundu, čo je síce pomalé, ale viac než postačujúce na únik kritických informácií.

Metóda RAMBO v detailoch

RAMBO je nová forma komunikácie cez skrytý kanál so vzduchovou medzerou. Využíva elektromagnetické emisie z RAM, ku ktorým dochádza v dôsledku rýchlych zmien napätia a prúdu pri prenose údajov. Tieto emisie sú priamo ovplyvnené faktormi, ako je rýchlosť hodín systému a šírka dát.

Starostlivým riadením vzorov prístupu do pamäte môže útočník generovať binárny signál. Tento signál potom môže útočník prijať a dekódovať pomocou hardvéru SDR a štandardnej antény. Výskumník za touto metódou, Mordechai Guri, úspešne demonštroval, ako môže tento útok uniknúť dáta z izolovaných systémov do blízkych prijímačov.

Ako sú systémy so vzduchovou medzerou stále zraniteľné?

Mnohí veria, že systémy so vzduchovou medzerou sú nedotknuteľné kvôli ich izolácii od sietí, ale tento útok dokazuje opak. Samotná fyzická izolácia nemôže chrániť pred pokročilými technikami, ako je útok RAMBO, ktorý využíva základné správanie hardvéru, ktoré možno pozorovať a zachytiť bezdrôtovo.

Zatiaľ čo existujú desiatky zdokumentovaných malvérových kmeňov zameraných na systémy so vzduchovou medzerou, RAMBO predstavuje jedinečné riziko, pretože nevyžaduje priamy fyzický prístup na exfiltráciu údajov. Útočníkovi stačí infikovať systém malvérom a mať zariadenie na zachytávanie elektromagnetických signálov z krátkej vzdialenosti.

Obranné protiopatrenia proti útokom RAMBO

Našťastie existujú protiopatrenia, ktoré môžu pomôcť brániť sa útokom v štýle RAMBO:

Tienenie a Faradayove klietky : Uzavretie kritických systémov vo Faradayových klietkach môže blokovať elektromagnetické vyžarovanie a zabrániť prenosu signálu.
Rušenie a generátory šumu : Nasadenie elektromagnetických rušičiek alebo generátorov šumu môže interferovať so signálmi vysielanými RAM, čo útočníkom sťažuje získavanie čistých údajov.
Vylepšená detekcia malvéru : Posilnenie protokolov detekcie malvéru v systémoch so vzduchovou medzerou môže pomôcť identifikovať a eliminovať hrozby skôr, ako môžu manipulovať s pamäťou RAM na generovanie signálov.
Zníženie elektromagnetických emisií : Výrobcovia hardvéru sa môžu zamerať na navrhovanie systémov so zníženými elektromagnetickými emisiami, čo sťažuje úspech týchto útokov.

Záverečné myšlienky

Útok RAMBO demonštruje vyvíjajúci sa charakter kybernetických hrozieb a dokazuje, že ani systémy so vzduchovou medzerou nie sú nezraniteľné. Pochopenie toho, ako tieto útoky fungujú, je kľúčom k rozvoju robustnej obrany. Organizácie s vysoko citlivými údajmi by mali zvážiť implementáciu ochranných opatrení, ako je tienenie signálu a zlepšenie svojich schopností detekcie škodlivého softvéru, aby sa ochránili pred touto pokročilou formou krádeže údajov.

Ak chcete získať podrobnejšie informácie a najnovšie aktualizácie v oblasti počítačovej bezpečnosti, sledujte web EnigmaSoftware.com. Buďte vždy o krok vpred pred kyberzločincami tým, že posilníte svoje systémy a implementujete najlepšiu obranu proti vznikajúcim hrozbám, ako je útok RAMBO.

SpyHunter pre Windows od EnigmaSoft získal certifikáciu AV-TEST

Vyhľadávanie

Zmeniť región