Правительства и другие учреждения часто используют системы без доступа к сети. Но метод RAMBO позволяет отправлять данные от оперативной памяти изолированных ПК наружу.
Согласно доклад доктора Мордехая Гури, исследователя из Университета Бен-Гуриона в Негеве, Израиль, изолированные системы не защищены от внешних угроз. Исследователь использовал оперативную память компьютера для генерации радиосигнала и передачи с ее помощью данных. Он назвал эту атаку RAMBO (Radiation of Air-gapped Memory Bus for Offense, «Излучение воздушно-изолированной шины памяти для нападения»).
«Вредоносное программное обеспечение на скомпрометированном компьютере может генерировать радиосигналы от шины памяти (RAM). Используя радиосигналы, созданные программным обеспечением, вредоносное программное обеспечение может кодировать конфиденциальную информацию, такую как файлы, изображения, журналы клавиатуры, биометрическую информацию и ключи шифрования. С помощью аппаратного обеспечения программно управляемого радио (SDR) и простой готовой антенны злоумышленник может перехватывать передаваемые необработанные радиосигналы на расстоянии», — пишет Мордехай Гури.
Теоретически этот метод может быть использован злоумышленниками снаружи для перехвата и похищения конфиденциальных данных без интернета или физического доступа к системе. Достигнутая в экспериментах пропускная способность составляла 1000 бит в секунду, то есть для загрузки 1 ГБ данных понадобилось бы почти 100 дней. Впрочем, злоумышленнику все равно нужно будет заразить целевой компьютер вредоносным программным обеспечением, чтобы создать такой радиопередатчик.
«Когда данные передаются по шине RAM, это предполагает быстрые изменения напряжения и тока, главным образом в шине данных. Эти колебания напряжения создают электромагнитные поля, которые могут излучать электромагнитную энергию через электромагнитные помехи (EMI) или радиочастотные помехи (RFI)», — говорится в статье.
Используя компьютер с процессором Intel Core i7 3,6 ГГц и 16 ГБ оперативной памяти, работающий на частоте 2,133-2,400 ГГц, Гури продемонстрировал, что небольшие файлы можно передавать примерно за 400 с на расстояние 7 м. Пропускной способности достаточно для запуска кейлоггера в реальном времени. Меньшие расстояния привели бы к увеличению скорости.
Публикация предлагает некоторые меры противодействия подобным атакам: зональные ограничения, системы обнаружения вторжений на хост, внешний мониторинг электромагнитного спектра, блокировка работы памяти, подавление радиоизлучения и корпуса Фарадея.
Источник: Cybernews