Ученые из Израильского университета разработали новый метод кибератаки, получивший название “RAMBO” (Radiation of Air-gapped Memory Bus for Offense). Этот способ позволяет злоумышленникам передавать данные с изолированных от сети компьютеров через электромагнитные излучения, возникающие при работе оперативной памяти.
Системы, находящиеся в критически важных секторах, таких как государственные учреждения, ядерные станции и военные системы, обычно используют так называемый ” data-html=”true” data-original-title=”Air Gap” >Air Gap для обеспечения максимального уровня безопасности. Air gap системы не подключены к интернету или другим сетям, что минимизирует риски заражения вредоносным ПО и утечки данных. Однако, даже такие системы могут подвергаться атакам, если вредоносное ПО будет внесено физически, например, через USB-накопители или в результате сложных атак на цепочку поставок.
Метод RAMBO позволяет атакующему использовать оперативную память зараженного компьютера для передачи секретной информации. Вредоносное ПО, установленное на изолированной системе, создает определенные шаблоны чтения и записи в память, которые генерируют контролируемые электромагнитные излучения. Сигналы могут быть перехвачены с помощью относительно недорогих радиоприемников с антенной.
В процессе атаки RAMBO данные кодируются в двоичный формат – “1” и “0”, где единица представляется как включение сигнала, а ноль – как его выключение. Для повышения точности передачи использован код Манчестера, обеспечивающий синхронизацию сигнала и минимизирующий ошибки.
ЭМ сигнал слова “DATA”
Скорость передачи данных с помощью метода RAMBO достигает 1000 бит в секунду, что эквивалентно 128 байтам в секунду. Это не позволяет передавать большие объемы данных, но вполне достаточно для кражи текстовой информации, паролей, RSA-ключей и небольших файлов. Например, для кражи пароля требуется всего 0,1-1,28 секунды, а для передачи изображения – от 25 до 250 секунд.
Скорость передачи данных
Расстояние передачи зависит от скорости сигнала и качества приема. На максимальной скорости данные могут передаваться на расстояние до 1 метра с минимальной погрешностью, на средней скорости – до 1,5 метров, а при низких скоростях, когда ошибки практически отсутствуют, передача может происходить на расстояние до 7 метров. Попытки увеличить скорость до 10 000 бит в секунду привели к значительному ухудшению соотношения сигнал-шум, что сделало передачу данных неэффективной.
Для защиты от атаки RAMBO исследователи предложили несколько способов. Среди них – физическое ограничение доступа к изолированным системам, использование систем глушения сигнала в оперативной памяти, внешние устройства для подавления радиосигналов и установка клеток Фарадея, которые предотвращают выход электромагнитного излучения за пределы защищенной зоны.
Стоит отметить, что атака RAMBO остается эффективной даже в виртуализированных средах. Хотя взаимодействие между хостом и виртуальными машинами может нарушать стабильность передачи, методика все же доказывает свою работоспособность в таких условиях.