Зловред RAMBO ворует данные по радиочастотам оперативной памяти изолированных ПК
Зловред ворует данные по радиочастотам оперативной памяти изолированных ПК. Фото: СС0
Эти системы могут быть заражены недобросовестными сотрудниками через физические носители (USB-накопители) или посредством сложных атак на цепочки поставок.
Для того, чтобы выкрасть данные, вредоносная программа может действовать скрытно, модулируя электромагнитные сигналы оперативной памяти изолированной системы таким образом, чтобы передавать секретные данные с компьютера находящемуся поблизости получателю.
Метод был разработан исследователями из израильского университета под руководством Мордехая Гури, опытного эксперта по скрытым каналам атак, который ранее разработал методы утечки данных с использованием светодиодов сетевых карт, радиочастотных сигналов USB-накопителей, кабелей SATA и блоков питания.
Для проведения атаки Rambo злоумышленник устанавливает вредоносное ПО на изолированном компьютере для сбора конфиденциальных данных и подготовки их к передаче. Он передает данные, манипулируя шаблонами доступа к памяти (операции чтения/записи на шине памяти) для генерации контролируемых электромагнитных излучений из оперативной памяти устройства.
По сути, эти импульсы являются продуктом вредоносного ПО, быстро переключающего электрические сигналы (включение-выключение «OOK») в оперативной памяти. Этот процесс не отслеживается средствами безопасности и не может быть отмечен или остановлен.
Передаваемые данные кодируются в «1» и «0», представленные в радиосигналах как «вкл» и «выкл». Исследователи решили использовать манчестерский код для улучшения обнаружения ошибок и обеспечения синхронизации сигнала, что снижает вероятность неправильной интерпретации на стороне приемника.
Злоумышленник может использовать относительно недорогую программно-определяемую радиостанцию (SDR) с антенной для перехвата модулированных электромагнитных излучений и преобразования их обратно в двоичную информацию.
Атака RAMBO обеспечивает скорость передачи данных до 1000 бит в секунду (бит/с), что соответствует 128 байтам в секунду или 0,125 КБ/с.
При такой скорости для кражи 1 мегабайта данных потребуется около 2,2 часа, поэтому RAMBO больше подходит для кражи небольших объемов данных, таких как текст, нажатия клавиш и небольшие файлы, информируют исследователи.
Еще одним важным моментом является то, что для кражи информации приемник должен быть установлен на относительно небольшом расстоянии – от трех до семи метров от зараженной машины.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Перечень содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
3 комментария
Всегда своим родным говорю, никогда не вставлять флешку, кроме домашнего компьютера, либо сразу проверять на вирус. Лучше скинуть информацию через какие-нибудь соц. сети. Вот что только не придумают для кражи данных, тут хорошо хоть расстояние маленькое и время для воровства нужно много, можно предотвратить проблему
Екатерина Викторовна, Вообщем когда вставил флешку, то смотри в окно. Не стоит ли там какая нибудь оборудованная машина, которая сворует твои файлы. До чего только не додумаются. У кого очень важная информация, нужно быть крайне осторожными.
Довольно полезна и инфармационно-грамотная, на мой взгляд, статья. Тема хорошо раскрыта, теперь мы знаем, что атака с помощью RAMBО позволяет перехватывать данные получателю, расположенному поблизости, на расстоянии до 7 метров. Для перехвата используется электромагнитное излучение, которое испускают модули памяти. Однако скорость хищения низкая, но всё же для малого объëма хватает. И в этом случае спасибо автору за полезные рекомендации усиление норм по физической безопасности объектов,ссылки на новые программы антивирусных продуктов, а также экранирование модулей памяти!)
Добавить комментарий