การโจมตี RAMBO ใหม่ขโมยข้อมูลจากระบบที่มีช่องว่างอากาศผ่านสัญญาณวิทยุ RAM

ภัยคุกคามด้านความปลอดภัยทางไซเบอร์ยังคงพัฒนาอย่างต่อเนื่อง และวิธีการขโมยข้อมูลแบบใหม่ที่เรียกว่าการโจมตีแบบ "RAMBO" ก่อให้เกิดความเสี่ยงร้ายแรง แม้แต่กับระบบที่แยกจากกัน เทคนิคที่ซับซ้อนนี้ พัฒนาโดย Mordechai Guri จากมหาวิทยาลัย Ben-Gurion แห่ง Negev ในอิสราเอล ช่วยให้ผู้โจมตีสามารถขโมยข้อมูลโดยใช้สัญญาณวิทยุที่ปล่อยออกมาจากหน่วยความจำ (RAM) ของระบบที่แยกจากกัน มาดูกันว่าสิ่งนี้หมายถึงอะไรและส่งผลต่อความปลอดภัยทางไซเบอร์อย่างไร

ระบบ Air-Gapped คืออะไร?

ระบบที่แยกออกจากกันได้รับการออกแบบให้แยกออกจากเครือข่ายภายนอก เช่น อินเทอร์เน็ต ทั้งทางกายภาพและทางตรรกะ องค์กรต่างๆ ใช้การแยกออกจากกันเป็นมาตรการรักษาความปลอดภัยเพื่อปกป้องข้อมูลสำคัญและละเอียดอ่อนจากภัยคุกคามทางไซเบอร์ อย่างไรก็ตาม แม้ว่าการแยกออกจากกันจะช่วยเพิ่มความปลอดภัย แต่ก็ไม่ได้ทำให้ระบบเหล่านี้ปลอดภัยจากการโจมตีโดยสมบูรณ์ ตลอดหลายปีที่ผ่านมา มี มัลแวร์ หลายตระกูล เช่น Stuxnet , Fanny และ PlugX ที่กำหนดเป้าหมายไปที่ระบบที่แยกออกจากกันโดยเฉพาะ

การโจมตี RAMBO ทำงานอย่างไร?

การโจมตี RAMBO (Radiated Memory Bus Oscillations) มีเป้าหมายที่คอมพิวเตอร์ที่ไม่มีช่องทางเชื่อมต่อโดยใช้ประโยชน์จากสัญญาณแม่เหล็กไฟฟ้าที่สร้างจาก RAM โดยมีวิธีการทำงานดังนี้:

1. การโจมตีด้วยมัลแวร์ : ขั้นตอนแรกในการโจมตีคือการทำให้ระบบที่ไม่มีช่องโหว่ติดมัลแวร์ ซึ่งอาจเกิดขึ้นได้จากไดรฟ์ USB ที่ถูกบุกรุก การโจมตีจากภายใน หรือช่องโหว่ของห่วงโซ่อุปทานที่แทรกมัลแวร์ลงในฮาร์ดแวร์หรือซอฟต์แวร์
2. การเข้ารหัสข้อมูลและการส่งสัญญาณ : เมื่อติดตั้งมัลแวร์แล้ว มัลแวร์จะเข้าควบคุม RAM ของระบบเพื่อสร้างสัญญาณแม่เหล็กไฟฟ้าที่เข้ารหัส การถ่ายโอนข้อมูลอย่างรวดเร็วภายใน RAM จะสร้างคลื่นแม่เหล็กไฟฟ้าขนาดเล็กซึ่งสามารถแผ่ข้อมูลในความถี่เฉพาะได้
3. การขโมยข้อมูล : ผู้โจมตีใช้ฮาร์ดแวร์วิทยุที่กำหนดโดยซอฟต์แวร์ (SDR) และเสาอากาศพื้นฐานเพื่อจับสัญญาณเหล่านี้จากระยะไกลถึง 7 เมตร (23 ฟุต) มัลแวร์เข้ารหัสข้อมูลที่ละเอียดอ่อน เช่น คีย์การเข้ารหัส ข้อมูลไบโอเมตริกซ์ รูปภาพ และการกดแป้นพิมพ์ ซึ่งส่งผ่านสัญญาณวิทยุเหล่านี้ อัตราการขโมยข้อมูลอยู่ที่ประมาณ 1,000 บิตต่อวินาที ซึ่งแม้จะช้า แต่ก็เพียงพอที่จะรั่วไหลข้อมูลสำคัญได้

วิธี RAMBO โดยละเอียด

RAMBO เป็นรูปแบบใหม่ของการสื่อสารผ่านช่องทางลับแบบช่องว่างอากาศ ซึ่งใช้ประโยชน์จากการแผ่คลื่นแม่เหล็กไฟฟ้าจาก RAM ซึ่งเกิดจากการเปลี่ยนแปลงแรงดันไฟและกระแสไฟฟ้าอย่างรวดเร็วเมื่อมีการถ่ายโอนข้อมูล การแผ่คลื่นเหล่านี้ได้รับอิทธิพลโดยตรงจากปัจจัยต่างๆ เช่น ความเร็วสัญญาณนาฬิกาของระบบและความกว้างของข้อมูล

โดยการควบคุมรูปแบบการเข้าถึงหน่วยความจำอย่างระมัดระวัง ผู้โจมตีสามารถสร้างสัญญาณไบนารีได้ จากนั้นผู้โจมตีสามารถรับและถอดรหัสสัญญาณนี้ได้โดยใช้ฮาร์ดแวร์ SDR และเสาอากาศมาตรฐาน นักวิจัยที่อยู่เบื้องหลังวิธีนี้คือ Mordechai Guri ได้สาธิตให้เห็นแล้วว่าการโจมตีนี้สามารถรั่วไหลข้อมูลจากระบบที่แยกตัวออกมาไปยังเครื่องรับที่อยู่ใกล้เคียงได้อย่างไร

ระบบที่มีช่องว่างอากาศยังคงมีความเสี่ยงอยู่ได้อย่างไร?

หลายคนเชื่อว่าระบบที่แยกจากเครือข่ายไม่สามารถถูกแตะต้องได้เนื่องจากแยกตัวออกจากเครือข่าย แต่การโจมตีครั้งนี้พิสูจน์ให้เห็นว่าไม่ใช่เช่นนั้น การแยกตัวทางกายภาพเพียงอย่างเดียวไม่สามารถป้องกันเทคนิคขั้นสูง เช่น การโจมตี RAMBO ซึ่งใช้ประโยชน์จากพฤติกรรมฮาร์ดแวร์พื้นฐานที่สามารถสังเกตและจับภาพได้แบบไร้สาย

แม้ว่าจะมีมัลแวร์หลายสิบสายพันธุ์ที่โจมตีระบบที่ไม่มีช่องทางเข้าถึง แต่ RAMBO ถือเป็นความเสี่ยงที่ไม่เหมือนใครเพราะไม่จำเป็นต้องเข้าถึงทางกายภาพโดยตรงเพื่อขโมยข้อมูล ผู้โจมตีเพียงแค่ต้องติดมัลแวร์ลงในระบบและมีอุปกรณ์สำหรับจับสัญญาณแม่เหล็กไฟฟ้าจากระยะใกล้

มาตรการป้องกันการโจมตีของ RAMBO

โชคดีที่มีมาตรการตอบโต้ที่สามารถช่วยป้องกันการโจมตีแบบ RAMBO ได้:

1. การป้องกันและกรงฟาราเดย์ : การปิดระบบที่สำคัญไว้ในกรงฟาราเดย์สามารถป้องกันการปล่อยคลื่นแม่เหล็กไฟฟ้าได้ ซึ่งป้องกันการส่งสัญญาณ
2. เครื่องรบกวนและตัวสร้างสัญญาณรบกวน : การใช้เครื่องรบกวนแม่เหล็กไฟฟ้าหรือตัวสร้างสัญญาณรบกวนอาจรบกวนสัญญาณที่ปล่อยออกมาจาก RAM ทำให้ผู้โจมตีไม่สามารถจับข้อมูลที่ชัดเจนได้
3. การตรวจจับมัลแวร์ที่ได้รับการปรับปรุง : การเสริมความแข็งแกร่งของโปรโตคอลการตรวจจับมัลแวร์บนระบบที่ไม่มีช่องว่างเครือข่ายสามารถช่วยระบุและกำจัดภัยคุกคามก่อนที่จะสามารถจัดการ RAM เพื่อสร้างสัญญาณ
4. การลดการปล่อยคลื่นแม่เหล็กไฟฟ้า : ผู้ผลิตฮาร์ดแวร์สามารถมุ่งเน้นไปที่การออกแบบระบบที่มีการปล่อยคลื่นแม่เหล็กไฟฟ้าน้อยลง ทำให้การโจมตีเหล่านี้ประสบผลสำเร็จได้ยากขึ้น

ความคิดสุดท้าย

การโจมตี RAMBO แสดงให้เห็นถึงลักษณะที่เปลี่ยนแปลงไปของภัยคุกคามทางไซเบอร์ ซึ่งพิสูจน์ให้เห็นว่าแม้แต่ระบบที่ไม่มีเครือข่ายก็ไม่สามารถป้องกันการโจมตีได้ การทำความเข้าใจว่าการโจมตีเหล่านี้ทำงานอย่างไรถือเป็นกุญแจสำคัญในการพัฒนาระบบป้องกันที่แข็งแกร่ง องค์กรที่มีข้อมูลที่ละเอียดอ่อนควรพิจารณาใช้มาตรการป้องกัน เช่น การป้องกันสัญญาณและปรับปรุงความสามารถในการตรวจจับมัลแวร์เพื่อป้องกันการโจรกรรมข้อมูลในรูปแบบขั้นสูงนี้

หากต้องการทราบข้อมูลเชิงลึกโดยละเอียดและข้อมูลอัปเดตล่าสุดด้านความปลอดภัยของคอมพิวเตอร์ โปรดติดตาม EnigmaSoftware.com ก้าวให้เหนืออาชญากรไซเบอร์อยู่เสมอด้วยการเสริมความแข็งแกร่งให้กับระบบและใช้การป้องกันที่ดีที่สุดเพื่อรับมือกับภัยคุกคามใหม่ ๆ เช่น การโจมตีแบบ RAMBO