Yeni RAMBO Saldırısı, RAM Radyo Sinyalleri Aracılığıyla Hava Aralıklı Sistemlerden Veri Çalıyor

Siber güvenlik tehditleri gelişmeye devam ediyor ve "RAMBO" saldırısı adı verilen yeni bir veri hırsızlığı yöntemi, hava boşluklu sistemler için bile ciddi bir risk oluşturuyor. İsrail'deki Negev'deki Ben-Gurion Üniversitesi'nden Mordechai Guri tarafından geliştirilen bu karmaşık teknik, saldırganların izole sistemlerin belleği (RAM) tarafından yayılan radyo sinyallerini kullanarak verileri sızdırmasına olanak tanıyor. Bunun ne anlama geldiğini ve siber güvenliği nasıl etkilediğini inceleyelim.

Hava Aralıklı Sistem Nedir?

Hava boşluklu sistemler, internet gibi herhangi bir harici ağdan fiziksel ve mantıksal olarak ayrılmak üzere tasarlanmıştır. Kuruluşlar, kritik ve hassas verileri siber tehditlerden korumak için bir güvenlik önlemi olarak hava boşluğunu kullanır. Ancak, hava boşluğu güvenliği artırırken, bu sistemleri saldırılara karşı tamamen bağışık hale getirmez. Yıllar boyunca, Stuxnet , Fanny ve PlugX gibi birkaç kötü amaçlı yazılım ailesi , özellikle hava boşluğu olan sistemleri hedef aldı.

RAMBO Saldırısı Nasıl Çalışıyor?

RAMBO saldırısı (Radiated Memory Bus Oscillations), RAM'lerinden üretilen elektromanyetik sinyalleri kullanarak hava boşluklu bilgisayarları hedef alır. İşte nasıl çalıştığı:

1. Kötü Amaçlı Yazılım Dağıtımı : Saldırının ilk adımı, hava boşluğuna sahip sistemi kötü amaçlı yazılımla enfekte etmektir. Bu, tehlikeye atılmış bir USB sürücü, içeriden bir saldırı veya kötü amaçlı yazılımı donanıma veya yazılıma enjekte eden bir tedarik zinciri güvenlik açığı yoluyla gerçekleşebilir.
2. Veri Kodlama ve Sinyal İletimi : Kötü amaçlı yazılım yüklendikten sonra, kodlanmış elektromanyetik sinyaller üretmek için sistemin RAM'ini manipüle eder. RAM içindeki verilerin hızlı aktarımı, belirli frekanslarda veri yayabilen küçük elektromanyetik dalgalar oluşturur.
3. Veri Sızdırma : Saldırganlar, bu sinyalleri 7 metreye (23 fit) kadar uzaklıktan yakalamak için Yazılım Tanımlı Radyo (SDR) donanımı ve temel bir anten kullanır. Kötü amaçlı yazılım, bu radyo sinyalleri aracılığıyla iletilen şifreleme anahtarları, biyometrik veriler, görüntüler ve tuş vuruşları gibi hassas bilgileri kodlar. Sızdırma oranı saniyede yaklaşık 1.000 bittir ve bu yavaş olsa da kritik bilgileri sızdırmak için fazlasıyla yeterlidir.

RAMBO Yöntemi Ayrıntılı Olarak

RAMBO, hava boşluğu gizli kanal iletişiminin yeni bir biçimidir. Veriler aktarılırken hızlı voltaj ve akım değişimleri nedeniyle oluşan RAM'den gelen elektromanyetik emisyonlardan yararlanır. Bu emisyonlar, sistemin saat hızı ve veri genişliği gibi faktörlerden doğrudan etkilenir.

Saldırgan, bellek erişim desenlerini dikkatlice kontrol ederek ikili bir sinyal üretebilir. Bu sinyal daha sonra saldırgan tarafından SDR donanımı ve standart bir anten kullanılarak alınabilir ve çözülebilir. Bu yöntemin arkasındaki araştırmacı Mordechai Guri, bu saldırının izole sistemlerden yakındaki alıcılara nasıl veri sızdırabileceğini başarıyla göstermiştir.

Hava Boşluklu Sistemler Hala Nasıl Savunmasız?

Birçok kişi, hava boşluklu sistemlerin ağlardan izole edilmiş olmaları nedeniyle dokunulmaz olduğuna inanıyor, ancak bu saldırı bunun aksini kanıtlıyor. Fiziksel izolasyon tek başına, kablosuz olarak gözlemlenebilen ve yakalanabilen temel donanım davranışlarını istismar eden RAMBO saldırısı gibi gelişmiş tekniklere karşı koruma sağlayamaz.

Hava boşluklu sistemleri hedef alan onlarca belgelenmiş kötü amaçlı yazılım türü olmasına rağmen, RAMBO verileri sızdırmak için doğrudan fiziksel erişim gerektirmediği için benzersiz bir risk oluşturur. Saldırganın yalnızca sistemi kötü amaçlı yazılımla enfekte etmesi ve elektromanyetik sinyalleri kısa mesafeden yakalamak için bir cihaza sahip olması gerekir.

RAMBO Saldırılarına Karşı Savunma Önlemleri

Neyse ki RAMBO tarzı saldırılara karşı savunmaya yardımcı olabilecek karşı önlemler mevcut:

1. Kalkanlama ve Faraday Kafesleri : Kritik sistemlerin Faraday kafesleriyle kapatılması, elektromanyetik emisyonları engelleyerek sinyal iletimini önleyebilir.
2. Karıştırma ve Gürültü Üreteçleri : Elektromanyetik karıştırıcılar veya gürültü üreteçleri kullanmak, RAM tarafından yayılan sinyalleri bozabilir ve saldırganların temiz verileri ele geçirmesini zorlaştırabilir.
3. Gelişmiş Kötü Amaçlı Yazılım Algılama : Hava boşluklu sistemlerde kötü amaçlı yazılım algılama protokollerinin güçlendirilmesi, tehditlerin sinyaller üretmek için RAM'i manipüle etmeden önce belirlenmesine ve ortadan kaldırılmasına yardımcı olabilir.
4. Elektromanyetik Emisyonların Azaltılması : Donanım üreticileri, elektromanyetik emisyonları azaltan sistemler tasarlamaya odaklanabilirler; bu da bu tür saldırıların başarılı olmasını zorlaştırır.

Son Düşünceler

RAMBO saldırısı, siber tehditlerin evrimleşen doğasını göstererek, hava boşluklu sistemlerin bile yenilmez olmadığını kanıtlıyor. Bu saldırıların nasıl çalıştığını anlamak, sağlam savunmalar geliştirmek için çok önemlidir. Son derece hassas verilere sahip kuruluşlar, bu gelişmiş veri hırsızlığı biçimine karşı korunmak için sinyal koruması ve kötü amaçlı yazılım algılama yeteneklerini geliştirme gibi koruyucu önlemler uygulamayı düşünmelidir.

Daha detaylı içgörüler ve bilgisayar güvenliğindeki en son güncellemeler için EnigmaSoftware.com'u takipte kalın. Sistemlerinizi güçlendirerek ve RAMBO saldırısı gibi ortaya çıkan tehditlere karşı en iyi savunmaları uygulayarak siber suçluların her zaman bir adım önünde olun.