Източник: technews.bg

Израелски експерти по киберсигурност откриха нов начин за кражба на данни от изолирани компютърни системи, използвани в критични инфраструктури, като военни бази, правителствени агенции и атомни електроцентрали. Тези системи, известни като въздушно разделени (Air-gapped), са физически отделени от интернет с цел защита от външни заплахи. Въпреки това, нов тип атака, наречен RAMBO (Radiation of Air-gapped Memory Bus for Offense), може да компрометира тези системи, като използва електромагнитното излъчване от RAM паметта за прихващане на чувствителни данни.

Дори без директна интернет връзка, тези изолирани системи остават уязвими на кибератаки, отбелязва BleepingComputer. Нападателите могат да инжектират зловреден софтуер чрез физически носители като USB устройства или да използват сложни вериги от действия за установяване на комуникация с компютъра.

Атаката RAMBO манипулира компонентите на RAM паметта и генерира контролирани електромагнитни импулси, които предават информация чрез RF сигнали. Данните се кодирани в двоичен формат, като "1" и "0" се представят чрез включени и изключени импулси. За по-надеждно предаване на данните се използва манчестърски код, който кодира оригиналните двоични данни с двуимпулсно цифрово представяне. Тези RF сигнали могат да бъдат прихванати с евтини софтуерно дефинирани радиостанции (SDR) и след това декодирани обратно в двоичен код.

Скоростта на трансфер на данни по време на RAMBO атаката е сравнително ниска – 1000 бита в секунда (bps), което е около 0,125 KB/s. Въпреки това, тази скорост е достатъчна за кражба на малки количества данни, като текст, натискания на клавиши и малки файлове. Например, открадването на парола може да отнеме между 0,1 и 1,28 секунди, а кражбата на 4096-битов RSA криптиран ключ – между 4 и 42 секунди.

Обхватът на предаване на данни зависи от скоростта на трансфер. При максимална скорост (1000 bps) сигналът може да бъде стабилен на разстояние до 3 метра, но с увеличаването на разстоянието вероятността от грешки също нараства. Ако скоростта се намали до 500 bps, обхватът може да достигне 7 метра.

Изследователите са експериментирали и с по-високи скорости, но установяват, че при скорости над 5000 bps сигналът става твърде слаб и съдържа много шум. Според тях, най-добре е скоростта да не надвишава 5000 bps, за да се гарантира надеждността на сигнала.

За защита срещу RAMBO атаки, израелските експерти предлагат няколко метода, като подобрена физическа защита, потискане на електромагнитните емисии от RAM паметта, използване на външни радиочестотни смущения и поставяне на Faraday екраниращи кутии за блокиране на емисиите.

Изследванията показват, че RAMBO атаката е ефективна дори върху виртуални машини, въпреки че взаимодействието между RAM паметта и хост операционната система може да доведе до неуспех на атаката в определени случаи.