Нова атака RAMBO викрадає дані з систем із повітряним розривом через радіосигнали RAM

Загрози кібербезпеці продовжують розвиватися, і новий метод крадіжки даних під назвою «атака RAMBO» становить серйозну загрозу навіть для систем із зазором. Ця складна техніка, розроблена Мордехаєм Гурі з Університету Бен-Гуріона в Негеві в Ізраїлі, дозволяє зловмисникам викрадати дані за допомогою радіосигналів, які випромінює пам’ять (RAM) ізольованих систем. Давайте розберемо, що це означає та як це впливає на кібербезпеку.

Що таке система з повітряним проміжком?

Системи з повітряним зазором розроблені таким чином, щоб бути фізично та логічно відокремленими від будь-яких зовнішніх мереж, таких як Інтернет. Організації використовують air-gapping як засіб безпеки для захисту критично важливих і конфіденційних даних від кіберзагроз. Однак, хоча повітряний зазор покращує безпеку, він не робить ці системи повністю захищеними від атак. Протягом багатьох років кілька сімей зловмисних програм , таких як Stuxnet , Fanny та PlugX , спеціально націлювалися на системи з повітряним зазором.

Як працює атака RAMBO?

Атака RAMBO (випромінювані коливання шини пам’яті) спрямована на комп’ютери з повітряним проміжком, використовуючи електромагнітні сигнали, що генеруються їхньою оперативною пам’яттю. Ось як це працює:

1. Розгортання зловмисного програмного забезпечення : Першим кроком атаки є зараження системи з розривом повітря зловмисним програмним забезпеченням. Це може статися через скомпрометований USB-накопичувач, внутрішню атаку або вразливість ланцюжка постачання, яка впроваджує зловмисне програмне забезпечення в апаратне чи програмне забезпечення.
2. Кодування даних і передача сигналу : після встановлення зловмисного програмного забезпечення воно маніпулює оперативною пам’яттю системи для генерування закодованих електромагнітних сигналів. Швидка передача даних в оперативній пам’яті створює крихітні електромагнітні хвилі, які можуть випромінювати дані на певних частотах.
3. Викрадання даних : зловмисники використовують програмно-визначене радіо (SDR) і базову антену для захоплення цих сигналів на відстані до 7 метрів (23 футів). Зловмисне програмне забезпечення кодує конфіденційну інформацію, таку як ключі шифрування, біометричні дані, зображення та натискання клавіш, яка передається за допомогою цих радіосигналів. Швидкість ексфільтрації становить близько 1000 біт на секунду, що хоч і повільно, але більш ніж достатньо для витоку важливої інформації.

Метод РЕМБО в деталях

RAMBO - це нова форма прихованого зв'язку через повітряний проміжок. Він використовує електромагнітне випромінювання від оперативної пам’яті, яке виникає через швидкі зміни напруги та струму під час передачі даних. Ці випромінювання безпосередньо залежать від таких факторів, як тактова частота системи та ширина даних.

Ретельно контролюючи схеми доступу до пам’яті, зловмисник може генерувати двійковий сигнал. Потім цей сигнал може бути прийнятий і декодований зловмисником за допомогою апаратного забезпечення SDR і стандартної антени. Дослідник цього методу, Мордехай Гурі, успішно продемонстрував, як ця атака може призвести до витоку даних із ізольованих систем до сусідніх приймачів.

Чому системи з повітряним зазором все ще вразливі?

Багато хто вважає, що системи з повітряним проміжком недоторканні через їх ізольованість від мереж, але ця атака доводить протилежне. Фізична ізоляція сама по собі не може захистити від передових методів, таких як атака RAMBO, яка використовує фундаментальну поведінку апаратного забезпечення, яке можна спостерігати та фіксувати бездротовим способом.

Хоча існують десятки задокументованих штамів зловмисного програмного забезпечення, націлених на системи з повітряним зазором, RAMBO представляє унікальний ризик, оскільки не вимагає прямого фізичного доступу для вилучення даних. Зловмиснику потрібно лише заразити систему шкідливим програмним забезпеченням і мати пристрій для захоплення електромагнітних сигналів з невеликої відстані.

Захисні заходи проти атак RAMBO

На щастя, є контрзаходи, які можуть допомогти захиститися від атак у стилі RAMBO:

1. Екранування та клітки Фарадея : Закриття критичних систем у клітини Фарадея може блокувати електромагнітне випромінювання, запобігаючи передачі сигналу.
2. Генератори перешкод і шуму : застосування електромагнітних засобів перешкод або генераторів шуму може заважати сигналам, які випромінює оперативна пам’ять, що ускладнює зловмисникам отримання чітких даних.
3. Покращене виявлення зловмисного програмного забезпечення : посилення протоколів виявлення зловмисного програмного забезпечення в системах із зазором може допомогти виявити та усунути загрози, перш ніж вони зможуть маніпулювати оперативною пам’яттю для генерування сигналів.
4. Зменшення електромагнітного випромінювання : виробники обладнання можуть зосередитися на розробці систем зі зниженим електромагнітним випромінюванням, що ускладнює успіх цих атак.

Заключні думки

Атака RAMBO демонструє еволюцію кіберзагроз, доводячи, що навіть системи з повітряним щілиною не є невразливими. Розуміння того, як ці атаки працюють, є ключовим для розробки надійного захисту. Організаціям, які мають дуже конфіденційні дані, слід розглянути можливість впровадження захисних заходів, таких як екранування сигналу та покращення своїх можливостей виявлення зловмисного програмного забезпечення, щоб захиститися від цієї розширеної форми крадіжки даних.

Щоб отримати детальнішу інформацію та останні оновлення комп’ютерної безпеки, слідкуйте за оновленнями на EnigmaSoftware.com. Завжди будьте на крок попереду кіберзлочинців, зміцнюючи свої системи та впроваджуючи найкращий захист від нових загроз, таких як атака RAMBO.