Rabattoffert för flera licenser
Datorsäkerhet Ny RAMBO Attack stjäl data från Air-Gapped-system via...

Ny RAMBO Attack stjäl data från Air-Gapped-system via RAM-radiosignaler

Med Mura år Datorsäkerhet
Översätt till:
Svenska

Cybersäkerhetshot fortsätter att utvecklas, och en ny metod för datastöld som kallas "RAMBO"-attacken utgör en allvarlig risk, även för system med luftgap. Denna sofistikerade teknik, utvecklad av Mordechai Guri från Ben-Gurion University of the Negev i Israel, tillåter angripare att exfiltrera data med hjälp av radiosignaler som sänds ut av minnet (RAM) i isolerade system. Låt oss bryta ner vad detta betyder och hur det påverkar cybersäkerhet.

Vad är ett Air-Gapped System?

System med luftgap är designade för att vara fysiskt och logiskt separerade från alla externa nätverk, såsom internet. Organisationer använder luftgapping som en säkerhetsåtgärd för att skydda kritisk och känslig data från cyberhot. Men även om luftgapning förbättrar säkerheten, gör det inte dessa system helt immuna mot attacker. Under åren har flera familjer med skadlig programvara , som Stuxnet , Fanny och PlugX , specifikt riktat in sig på system med luftgap.

Hur fungerar RAMBO-attacken?

RAMBO-attacken (Radiated Memory Bus Oscillations) riktar sig mot datorer med luftgap genom att utnyttja elektromagnetiska signaler som genereras från deras RAM. Så här fungerar det:

  1. Implementering av skadlig programvara : Det första steget i attacken är att infektera det luftgapta systemet med skadlig programvara. Detta kan hända genom en komprometterad USB-enhet, en insiderattack eller en sårbarhet i leveranskedjan som injicerar skadlig programvara i hårdvara eller programvara.
  2. Datakodning och signalöverföring : När skadlig programvara är installerad manipulerar den systemets RAM-minne för att generera kodade elektromagnetiska signaler. Den snabba överföringen av data i RAM-minnet skapar små elektromagnetiska vågor, som kan utstråla data vid specifika frekvenser.
  3. Dataexfiltrering : Angripare använder mjukvarudefinierad radio (SDR) hårdvara och en grundläggande antenn för att fånga dessa signaler på upp till 7 meter (23 fot) bort. Skadlig programvara kodar känslig information, såsom krypteringsnycklar, biometriska data, bilder och tangenttryckningar, som sänds via dessa radiosignaler. Exfiltrationshastigheten är cirka 1 000 bitar per sekund, vilket, även om det är långsamt, är mer än tillräckligt för att läcka kritisk information.

RAMBO-metoden i detalj

RAMBO är en ny form av hemlig kanalkommunikation. Den utnyttjar de elektromagnetiska emissionerna från RAM, som uppstår på grund av snabba spännings- och strömförändringar när data överförs. Dessa emissioner påverkas direkt av faktorer som systemets klockhastighet och databredd.

Genom att noggrant kontrollera minnesåtkomstmönster kan angriparen generera en binär signal. Denna signal kan sedan tas emot och avkodas av angriparen med hjälp av SDR-hårdvara och en standardantenn. Forskaren bakom denna metod, Mordechai Guri, demonstrerade framgångsrikt hur denna attack kan läcka data från isolerade system till närliggande mottagare.

Hur är luftglappade system fortfarande sårbara?

Många tror att system med luftgap är oberörbara på grund av deras isolering från nätverk, men denna attack bevisar motsatsen. Enbart fysisk isolering kan inte skydda mot avancerade tekniker som RAMBO-attacken, som utnyttjar grundläggande hårdvarubeteenden som kan observeras och fångas trådlöst.

Även om det finns tiotals dokumenterade skadliga stammar som är inriktade på system med luftgap, utgör RAMBO en unik risk eftersom den inte kräver direkt fysisk åtkomst för att exfiltrera data. Angriparen behöver bara infektera systemet med skadlig programvara och ha en enhet för att fånga de elektromagnetiska signalerna på kort avstånd.

Defensiva motåtgärder mot RAMBO-attacker

Tack och lov finns det motåtgärder som kan hjälpa till att försvara sig mot attacker av RAMBO-stil:

  1. Skärmning och Faraday-burar : Omslutning av kritiska system i Faraday-burar kan blockera elektromagnetiska emissioner, vilket förhindrar signalöverföring.
  2. Störnings- och brusgeneratorer : Utplacering av elektromagnetiska störsändare eller brusgeneratorer kan störa signalerna som sänds ut av RAM, vilket gör det svårt för angripare att fånga tydliga data.
  3. Förbättrad upptäckt av skadlig programvara : Förstärkning av protokoll för upptäckt av skadlig programvara på system med luftgap kan hjälpa till att identifiera och eliminera hot innan de kan manipulera RAM-minnet för att generera signaler.
  4. Minska elektromagnetiska emissioner : Hårdvarutillverkare kan fokusera på att designa system med minskad elektromagnetisk emission, vilket gör det svårare för dessa attacker att lyckas.

Slutliga tankar

RAMBO-attacken visar hur cyberhoten utvecklas och bevisar att även system med luftglapp inte är osårbara. Att förstå hur dessa attacker fungerar är nyckeln till att utveckla robusta försvar. Organisationer med mycket känslig data bör överväga att implementera skyddsåtgärder som signalavskärmning och förbättra sina möjligheter att upptäcka skadlig programvara för att skydda sig mot denna avancerade form av datastöld.

För mer detaljerade insikter och de senaste uppdateringarna inom datorsäkerhet, håll utkik på EnigmaSoftware.com. Var alltid ett steg före cyberbrottslingarna genom att stärka dina system och implementera det bästa försvaret mot nya hot som RAMBO-attacken.

Läser in...