Зловред RAMBO ворует данные по радиочастотам оперативной памяти изолированных ПК

Новая атака по сторонним каналам, получившая название RAMBO (Radiation of Air-gapped Memory Bus for Offense), генерирует электромагнитное излучение из оперативной памяти устройства для отправки данных с изолированных от внешнего мира компьютеров.
Зловред RAMBO ворует данные по радиочастотам оперативной памяти изолированных ПК

Зловред ворует данные по радиочастотам оперативной памяти изолированных ПК. Фото: СС0

Эти системы могут быть заражены недобросовестными сотрудниками через физические носители (USB-накопители) или посредством сложных атак на цепочки поставок.

Для того, чтобы выкрасть данные, вредоносная программа может действовать скрытно, модулируя электромагнитные сигналы оперативной памяти изолированной системы таким образом, чтобы передавать секретные данные с компьютера находящемуся поблизости получателю.

Метод был разработан исследователями из израильского университета под руководством Мордехая Гури, опытного эксперта по скрытым каналам атак, который ранее разработал методы утечки данных с использованием светодиодов сетевых карт, радиочастотных сигналов USB-накопителей, кабелей SATA и блоков питания.

Для проведения атаки Rambo злоумышленник устанавливает вредоносное ПО на изолированном компьютере для сбора конфиденциальных данных и подготовки их к передаче. Он передает данные, манипулируя шаблонами доступа к памяти (операции чтения/записи на шине памяти) для генерации контролируемых электромагнитных излучений из оперативной памяти устройства.

По сути, эти импульсы являются продуктом вредоносного ПО, быстро переключающего электрические сигналы (включение-выключение «OOK») в оперативной памяти. Этот процесс не отслеживается средствами безопасности и не может быть отмечен или остановлен.

Передаваемые данные кодируются в «1» и «0», представленные в радиосигналах как «вкл» и «выкл». Исследователи решили использовать манчестерский код для улучшения обнаружения ошибок и обеспечения синхронизации сигнала, что снижает вероятность неправильной интерпретации на стороне приемника.

Злоумышленник может использовать относительно недорогую программно-определяемую радиостанцию ​​(SDR) с антенной для перехвата модулированных электромагнитных излучений и преобразования их обратно в двоичную информацию.

Атака RAMBO обеспечивает скорость передачи данных до 1000 бит в секунду (бит/с), что соответствует 128 байтам в секунду или 0,125 КБ/с.

При такой скорости для кражи 1 мегабайта данных потребуется около 2,2 часа, поэтому RAMBO больше подходит для кражи небольших объемов данных, таких как текст, нажатия клавиш и небольшие файлы, информируют исследователи.

Еще одним важным моментом является то, что для кражи информации приемник должен быть установлен на относительно небольшом расстоянии – от трех до семи метров от зараженной машины.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия. 

Статьи по теме

3 комментария

Добавить комментарий

Больше интересного

Актуальное

Salesforce покупает разработчика голосовых агентов на базе искусственного интеллекта Tenyx
В Progress LoadMaster обнаружили уязвимость уровнем серьезности 10/10
В Microsoft Office 2024 по умолчанию отключат элементы управления ActiveX
Ещё…