Novo ataque RAMBO usa sinais de rádio da RAM para roubar dados de redes isoladas
Uma nova técnica de ataque de canal lateral foi descoberta, utilizando sinais de rádio emitidos pela memória RAM (Memória de Acesso Aleatório) de um dispositivo como um mecanismo de extração de dados, representando uma ameaça para redes isoladas, conhecidas como redes air-gapped.
Esse método inovador foi denominado RAMBO (“Radiation of Air-gapped Memory Bus for Offense” – Radiação do Barramento de Memória Isolada para Ofensiva) pelo Dr. Mordechai Guri, chefe do Laboratório de Pesquisa Cibernética Ofensiva no Departamento de Engenharia de Sistemas de Informação e Software da Universidade Ben Gurion, em Israel.
Como funciona o ataque RAMBO
De acordo com Dr. Guri, utilizando sinais de rádio gerados por software, um malware pode codificar informações sensíveis, como arquivos, imagens, dados de keylogging (registro de teclas digitadas), informações biométricas e chaves de criptografia. Esses sinais podem ser capturados à distância por um atacante usando um rádio definido por software (SDR) e uma antena simples. A partir disso, os sinais podem ser decodificados e convertidos em dados binários, possibilitando o roubo de informações.
Histórico de ataques inovadores
O Dr. Guri é conhecido por desenvolver várias técnicas não convencionais para extrair dados de redes offline. Algumas de suas criações anteriores incluem:
- SATAn: Utiliza cabos Serial ATA para transmitir dados sigilosos.
- GAIROSCOPE: Sequestra giroscópios MEMS (dispositivos de detecção de movimento) para vazar informações.
- ETHERLED: Utiliza LEDs em placas de interface de rede para transmitir dados.
- COVID-bit: Baseia-se no consumo dinâmico de energia para roubar informações.
Outras abordagens incluem vazamentos de dados via sinais acústicos gerados por ventiladores de GPU (GPU-FAN), ondas sonoras produzidas por dispositivos de alerta em placas-mãe (EL-GRILLO), e até painéis de exibição de impressoras e LEDs de status (PrinterLeak).
Ataques mais recentes
No ano passado, Guri demonstrou o AirKeyLogger, um ataque de captura de teclas (keylogging) por radiofrequência sem hardware, que aproveita as emissões de rádio da fonte de alimentação de um computador para exfiltrar dados de digitação em tempo real para um atacante remoto.
Esses ataques, incluindo o RAMBO, exigem que a rede isolada seja previamente comprometida por outros meios, como um agente interno malicioso, dispositivos USB infectados ou ataques à cadeia de suprimentos. Uma vez comprometida, o malware pode ativar o canal de exfiltração de dados.
Detalhes do ataque RAMBO
O ataque RAMBO manipula a memória RAM de forma que ela possa gerar sinais de rádio em frequências de relógio, os quais são codificados utilizando a codificação Manchester. Esses sinais são então transmitidos e podem ser recebidos à distância. Os dados exfiltrados podem incluir informações como registros de teclas digitadas, documentos e dados biométricos.
Um atacante, equipado com um SDR, pode receber esses sinais, demodulá-los e decodificá-los, recuperando as informações roubadas. O estudo demonstrou que computadores isolados, com processadores Intel i7 de 3.6 GHz e 16 GB de RAM, conseguem exfiltrar dados a uma velocidade de 1.000 bits por segundo. Keystrokes, por exemplo, podem ser transmitidos em tempo real a uma taxa de 16 bits por tecla.
A pesquisa também indicou que chaves de criptografia RSA de 4096 bits podem ser exfiltradas em 41,96 segundos em baixa velocidade. Informações biométricas, pequenos arquivos de imagem (.jpg) e documentos simples (.txt e .docx) podem ser roubados em cerca de 400 segundos a baixas velocidades, ou em apenas alguns segundos a velocidades mais altas.
Medidas de mitigação
Para prevenir o ataque RAMBO, algumas contramedidas foram sugeridas, incluindo:
- Aplicação de restrições de zonas “red-black” (separação de áreas de transmissão de dados).
- Utilização de sistemas de detecção de intrusões (IDS).
- Monitoramento do acesso à memória em nível de hipervisor.
- Uso de bloqueadores de rádio para impedir comunicações sem fio.
- Isolamento de dispositivos sensíveis em gaiolas de Faraday, que bloqueiam emissões eletromagnéticas.
Conclusão
O ataque RAMBO destaca mais uma vez a criatividade de pesquisadores em segurança cibernética para encontrar novas maneiras de explorar vulnerabilidades em sistemas isolados. Embora esses sistemas sejam considerados altamente seguros, métodos como o RAMBO mostram que, mesmo sem uma conexão direta à internet, as informações podem ser roubadas de maneira sorrateira. Para proteger redes air-gapped, será crucial a implementação de medidas preventivas robustas, bem como a constante vigilância sobre os possíveis vetores de ataque.
Fonte: https://thehackernews.com/2024/09/new-rambo-attack-uses-ram-radio-signals.html