Дослідники з Ізраїлю розробили новий метод атаки на ізольовані комп’ютерні системи під назвою RAMBO (Radiation of Air-gapped Memory Bus for Offense). Ця техніка використовує електромагнітне випромінювання оперативної пам’яті для викрадення конфіденційних даних з фізично ізольованих комп’ютерів, що не мають підключення до мереж чи потенційно небезпечної периферії.
Механізм роботи RAMBO
Атака RAMBO вимагає попереднього зараження цільового комп’ютера шкідливим програмним забезпеченням. Це може бути здійснено через фізичні носії (наприклад, USB-накопичувачі) або складні атаки на ланцюжок поставок. Після встановлення, малвар збирає конфіденційні дані та готує їх до передачі.
Ключовим елементом атаки є маніпуляція шаблонами доступу до пам’яті (операціями читання/запису на шині пам’яті) для створення контрольованих патернів електромагнітного випромінювання. Це випромінювання є побічним ефектом швидкого перемикання електричних сигналів в оперативній пам’яті, що не може бути виявлено або зупинено стандартними засобами захисту.
Технічні деталі передачі даних
Дані кодуються в нулі та одиниці з використанням манчестерського кодування для покращення виявлення помилок та синхронізації сигналу. Зловмисник може використовувати відносно недороге обладнання SDR (Software-Defined Radio) з антеною для перехоплення електромагнітних сигналів та їх декодування назад у бінарні дані.
Швидкість та дальність передачі
RAMBO забезпечує швидкість передачі даних до 1000 біт в секунду (близько 128 байт/с). Це дозволяє викрадати невеликі об’єми інформації, такі як текст, паролі або криптографічні ключі. Наприклад:
- Викрадення пароля: 0,1-1,28 секунд
- 4096-бітний RSA-ключ: 4-42 секунди
- Невелике зображення: 25-250 секунд
Дальність передачі залежить від швидкості: швидка передача можлива на відстані до 3 метрів, середня – до 4,5 метрів, а повільна з мінімальною кількістю помилок – до 7 метрів.
Захист від RAMBO та подібних атак
Експерти рекомендують наступні заходи для захисту від RAMBO та аналогічних атак на ізольовані системи:
- Посилення фізичного захисту та обмеження доступу до критичних систем
- Створення перешкод та зовнішнє глушіння електромагнітного випромінювання
- Використання клітин Фарадея для повної ізоляції захищених систем
- Регулярний моніторинг та аудит ізольованих систем на предмет аномальної активності
RAMBO демонструє, що навіть фізично ізольовані системи можуть бути вразливими до витоку даних. Організаціям, що працюють з критичною інформацією, необхідно постійно вдосконалювати свої стратегії кібербезпеки, враховуючи нові методи атак та впроваджуючи комплексні заходи захисту на всіх рівнях інфраструктури.