Báo giá giảm giá nhiều giấy phép
Bảo mật máy tính Cuộc tấn công RAMBO mới đánh cắp dữ liệu từ các hệ thống...

Cuộc tấn công RAMBO mới đánh cắp dữ liệu từ các hệ thống Air-Gapped thông qua tín hiệu vô tuyến RAM

Đến năm Mura năm Bảo mật máy tính
Dịch sang:
Tiếng Việt Nam

Các mối đe dọa an ninh mạng tiếp tục phát triển và một phương pháp đánh cắp dữ liệu mới được gọi là cuộc tấn công "RAMBO" gây ra rủi ro nghiêm trọng, ngay cả đối với các hệ thống air-gapped. Kỹ thuật tinh vi này, được phát triển bởi Mordechai Guri từ Đại học Ben-Gurion của Negev ở Israel, cho phép kẻ tấn công đánh cắp dữ liệu bằng tín hiệu vô tuyến phát ra từ bộ nhớ (RAM) của các hệ thống bị cô lập. Hãy cùng phân tích ý nghĩa của điều này và cách nó ảnh hưởng đến an ninh mạng.

Hệ thống Air-Gapped là gì?

Các hệ thống air-gapped được thiết kế để tách biệt về mặt vật lý và logic với bất kỳ mạng bên ngoài nào, chẳng hạn như internet. Các tổ chức sử dụng air-gapped như một biện pháp bảo mật để bảo vệ dữ liệu quan trọng và nhạy cảm khỏi các mối đe dọa mạng. Tuy nhiên, trong khi air-gapped cải thiện bảo mật, nó không làm cho các hệ thống này hoàn toàn miễn nhiễm với các cuộc tấn công. Trong nhiều năm qua, một số họ phần mềm độc hại , chẳng hạn như Stuxnet , Fanny và PlugX , đã nhắm mục tiêu cụ thể vào các hệ thống air-gapped.

Cuộc tấn công RAMBO diễn ra như thế nào?

Cuộc tấn công RAMBO (Radiated Memory Bus Oscillations) nhắm vào các máy tính có khoảng cách không khí bằng cách khai thác các tín hiệu điện từ được tạo ra từ RAM của chúng. Đây là cách thức hoạt động:

  1. Triển khai phần mềm độc hại : Bước đầu tiên trong cuộc tấn công là lây nhiễm phần mềm độc hại vào hệ thống air-gapped. Điều này có thể xảy ra thông qua ổ USB bị xâm phạm, tấn công nội bộ hoặc lỗ hổng chuỗi cung ứng đưa phần mềm độc hại vào phần cứng hoặc phần mềm.
  2. Mã hóa dữ liệu và truyền tín hiệu : Sau khi phần mềm độc hại được cài đặt, nó sẽ thao túng RAM của hệ thống để tạo ra các tín hiệu điện từ được mã hóa. Việc truyền dữ liệu nhanh chóng trong RAM tạo ra các sóng điện từ nhỏ, có thể phát ra dữ liệu ở tần số cụ thể.
  3. Data Exfiltration : Kẻ tấn công sử dụng phần cứng Radio được xác định bằng phần mềm (SDR) và một ăng-ten cơ bản để thu các tín hiệu này từ khoảng cách lên đến 7 mét (23 feet). Phần mềm độc hại mã hóa thông tin nhạy cảm, chẳng hạn như khóa mã hóa, dữ liệu sinh trắc học, hình ảnh và lần nhấn phím, được truyền qua các tín hiệu radio này. Tốc độ exfiltration là khoảng 1.000 bit mỗi giây, mặc dù chậm, nhưng vẫn đủ để rò rỉ thông tin quan trọng.

Phương pháp RAMBO chi tiết

RAMBO là một dạng mới của truyền thông kênh bí mật air-gap. Nó tận dụng các bức xạ điện từ từ RAM, xảy ra do điện áp và dòng điện thay đổi nhanh khi dữ liệu được truyền. Các bức xạ này bị ảnh hưởng trực tiếp bởi các yếu tố như tốc độ xung nhịp và độ rộng dữ liệu của hệ thống.

Bằng cách kiểm soát cẩn thận các mẫu truy cập bộ nhớ, kẻ tấn công có thể tạo ra tín hiệu nhị phân. Sau đó, kẻ tấn công có thể nhận và giải mã tín hiệu này bằng phần cứng SDR và ăng-ten tiêu chuẩn. Nhà nghiên cứu đằng sau phương pháp này, Mordechai Guri, đã chứng minh thành công cách thức cuộc tấn công này có thể làm rò rỉ dữ liệu từ các hệ thống bị cô lập đến các máy thu gần đó.

Tại sao các hệ thống Air-Gapped vẫn dễ bị tấn công?

Nhiều người tin rằng các hệ thống air-gapped là bất khả xâm phạm do chúng bị cô lập khỏi mạng, nhưng cuộc tấn công này chứng minh điều ngược lại. Chỉ riêng việc cô lập vật lý không thể bảo vệ chống lại các kỹ thuật tiên tiến như cuộc tấn công RAMBO, khai thác các hành vi phần cứng cơ bản có thể được quan sát và ghi lại không dây.

Trong khi có hàng chục loại phần mềm độc hại được ghi nhận nhắm vào các hệ thống air-gapped, RAMBO gây ra một rủi ro độc đáo vì nó không yêu cầu truy cập vật lý trực tiếp để đánh cắp dữ liệu. Kẻ tấn công chỉ cần lây nhiễm phần mềm độc hại vào hệ thống và có một thiết bị để thu tín hiệu điện từ từ khoảng cách ngắn.

Biện pháp phòng thủ chống lại các cuộc tấn công RAMBO

Rất may là có những biện pháp đối phó có thể giúp chống lại các cuộc tấn công theo kiểu RAMBO:

  1. Che chắn và lồng Faraday : Việc bao bọc các hệ thống quan trọng trong lồng Faraday có thể ngăn chặn phát xạ điện từ, ngăn chặn việc truyền tín hiệu.
  2. Thiết bị gây nhiễu và tạo tiếng ồn : Việc triển khai thiết bị gây nhiễu điện từ hoặc thiết bị tạo tiếng ồn có thể gây nhiễu các tín hiệu phát ra từ RAM, khiến kẻ tấn công khó có thể lấy được dữ liệu rõ ràng.
  3. Phát hiện phần mềm độc hại nâng cao : Việc tăng cường các giao thức phát hiện phần mềm độc hại trên các hệ thống không có kết nối mạng có thể giúp xác định và loại bỏ các mối đe dọa trước khi chúng có thể thao túng RAM để tạo ra tín hiệu.
  4. Giảm phát xạ điện từ : Các nhà sản xuất phần cứng có thể tập trung vào việc thiết kế các hệ thống có khả năng giảm phát xạ điện từ, khiến các cuộc tấn công này khó thành công hơn.

Suy nghĩ cuối cùng

Cuộc tấn công RAMBO chứng minh bản chất đang phát triển của các mối đe dọa mạng, chứng minh rằng ngay cả các hệ thống air-gapped cũng không phải là bất khả xâm phạm. Hiểu cách thức các cuộc tấn công này hoạt động là chìa khóa để phát triển các biện pháp phòng thủ mạnh mẽ. Các tổ chức có dữ liệu cực kỳ nhạy cảm nên cân nhắc triển khai các biện pháp bảo vệ như che chắn tín hiệu và cải thiện khả năng phát hiện phần mềm độc hại của họ để bảo vệ chống lại hình thức trộm cắp dữ liệu tiên tiến này.

Để biết thêm thông tin chi tiết và các cập nhật mới nhất về bảo mật máy tính, hãy theo dõi EnigmaSoftware.com. Luôn đi trước tội phạm mạng một bước bằng cách củng cố hệ thống của bạn và triển khai các biện pháp phòng thủ tốt nhất chống lại các mối đe dọa mới nổi như cuộc tấn công RAMBO.

Đang tải...