Цифровой шёпот компьютеров позволяет незаметно похищать данные с изолированных систем.
Ученые из Израильского университета новый метод кибератаки, получивший название «RAMBO» (Radiation of Air-gapped Memory Bus for Offense). Этот способ позволяет злоумышленникам передавать данные с изолированных от сети компьютеров через электромагнитные излучения, возникающие при работе оперативной памяти.
Системы, находящиеся в критически важных секторах, таких как государственные учреждения, ядерные станции и военные системы, обычно используют так называемый для обеспечения максимального уровня безопасности. Air gap системы не подключены к интернету или другим сетям, что минимизирует риски заражения вредоносным ПО и утечки данных. Однако, даже такие системы могут подвергаться атакам, если вредоносное ПО будет внесено физически, например, через USB-накопители или в результате сложных атак на цепочку поставок.
Метод RAMBO позволяет атакующему использовать оперативную память зараженного компьютера для передачи секретной информации. Вредоносное ПО, установленное на изолированной системе, создает определенные шаблоны чтения и записи в память, которые генерируют контролируемые электромагнитные излучения. Сигналы могут быть перехвачены с помощью относительно недорогих радиоприемников с антенной.
В процессе атаки RAMBO данные кодируются в двоичный формат — «1» и «0», где единица представляется как включение сигнала, а ноль — как его выключение. Для повышения точности передачи использован код Манчестера, обеспечивающий синхронизацию сигнала и минимизирующий ошибки.
Скорость передачи данных с помощью метода RAMBO достигает 1000 бит в секунду, что эквивалентно 128 байтам в секунду. Это не позволяет передавать большие объемы данных, но вполне достаточно для кражи текстовой информации, паролей, RSA-ключей и небольших файлов. Например, для кражи пароля требуется всего 0,1–1,28 секунды, а для передачи изображения — от 25 до 250 секунд.
Расстояние передачи зависит от скорости сигнала и качества приема. На максимальной скорости данные могут передаваться на расстояние до 1 метра с минимальной погрешностью, на средней скорости — до 1,5 метров, а при низких скоростях, когда ошибки практически отсутствуют, передача может происходить на расстояние до 7 метров. Попытки увеличить скорость до 10 000 бит в секунду привели к значительному ухудшению соотношения сигнал-шум, что сделало передачу данных неэффективной.
Для защиты от атаки RAMBO исследователи предложили несколько способов. Среди них — физическое ограничение доступа к изолированным системам, использование систем глушения сигнала в оперативной памяти, внешние устройства для подавления радиосигналов и установка которые предотвращают выход электромагнитного излучения за пределы защищенной зоны.
Стоит отметить, что атака RAMBO остается эффективной даже в виртуализированных средах. Хотя взаимодействие между хостом и виртуальными машинами может нарушать стабильность передачи, методика все же доказывает свою работоспособность в таких условиях.
Подробнее:
Ученые из Израильского университета новый метод кибератаки, получивший название «RAMBO» (Radiation of Air-gapped Memory Bus for Offense). Этот способ позволяет злоумышленникам передавать данные с изолированных от сети компьютеров через электромагнитные излучения, возникающие при работе оперативной памяти.
Системы, находящиеся в критически важных секторах, таких как государственные учреждения, ядерные станции и военные системы, обычно используют так называемый для обеспечения максимального уровня безопасности. Air gap системы не подключены к интернету или другим сетям, что минимизирует риски заражения вредоносным ПО и утечки данных. Однако, даже такие системы могут подвергаться атакам, если вредоносное ПО будет внесено физически, например, через USB-накопители или в результате сложных атак на цепочку поставок.
Метод RAMBO позволяет атакующему использовать оперативную память зараженного компьютера для передачи секретной информации. Вредоносное ПО, установленное на изолированной системе, создает определенные шаблоны чтения и записи в память, которые генерируют контролируемые электромагнитные излучения. Сигналы могут быть перехвачены с помощью относительно недорогих радиоприемников с антенной.
В процессе атаки RAMBO данные кодируются в двоичный формат — «1» и «0», где единица представляется как включение сигнала, а ноль — как его выключение. Для повышения точности передачи использован код Манчестера, обеспечивающий синхронизацию сигнала и минимизирующий ошибки.
ЭМ сигнал слова «DATA»
Скорость передачи данных с помощью метода RAMBO достигает 1000 бит в секунду, что эквивалентно 128 байтам в секунду. Это не позволяет передавать большие объемы данных, но вполне достаточно для кражи текстовой информации, паролей, RSA-ключей и небольших файлов. Например, для кражи пароля требуется всего 0,1–1,28 секунды, а для передачи изображения — от 25 до 250 секунд.
Скорость передачи данных
Расстояние передачи зависит от скорости сигнала и качества приема. На максимальной скорости данные могут передаваться на расстояние до 1 метра с минимальной погрешностью, на средней скорости — до 1,5 метров, а при низких скоростях, когда ошибки практически отсутствуют, передача может происходить на расстояние до 7 метров. Попытки увеличить скорость до 10 000 бит в секунду привели к значительному ухудшению соотношения сигнал-шум, что сделало передачу данных неэффективной.
Для защиты от атаки RAMBO исследователи предложили несколько способов. Среди них — физическое ограничение доступа к изолированным системам, использование систем глушения сигнала в оперативной памяти, внешние устройства для подавления радиосигналов и установка которые предотвращают выход электромагнитного излучения за пределы защищенной зоны.
Стоит отметить, что атака RAMBO остается эффективной даже в виртуализированных средах. Хотя взаимодействие между хостом и виртуальными машинами может нарушать стабильность передачи, методика все же доказывает свою работоспособность в таких условиях.
Подробнее:
