Foi descoberto um novo ataque de canal lateral para melhorar os sinais de rádio emitidos pela memória de acesso aleatório (RAM) do dispositivo como meio de filtrar dados, o que representa um risco para redes bloqueadas por ar.
O mecanismo é codificado RAMBO pelo Dr. Mordechai Guri, chefe do Laboratório de Pesquisa Ciberofensiva do Departamento de Engenharia de Software e Sistemas de Informação da Universidade Ben Gurion de Negev, em Israel.
“Usando sinais de rádio gerados pelo software, o malware pode inserir informações confidenciais, como arquivos, imagens, pressionamentos de teclas, informações biométricas e chaves de criptografia”, disse o Dr. Guri em um artigo de pesquisa publicado recentemente.
“Com hardware de rádio definido por software (SDR) e uma simples nota pronta para uso, um invasor pode interceptar sinais de rádio brutos remotamente. Os sinais podem então ser decodificados e traduzidos de volta em informações binárias.”
Ao longo dos anos, o Dr. Guri desenvolveu vários métodos de extração de dados confidenciais de redes off-line usando cabos Serial ATA (SATAn), giroscópio MEMS (GAIROSCOPE), LEDs em placas de interface (ETHERLED) e uso de energia dinâmica (COVID – um bit).
Alguns dos métodos incomuns projetados pelo pesquisador incluem o vazamento de dados de redes air-gap usando sinais acústicos ocultos produzidos por ventiladores da unidade de processamento gráfico (GPU) (GPU-FAN), ondas (ultra)sônicas produzidas pelas campainhas da placa-mãe (EL-GRILLO ), até mesmo painéis de exibição da impressora e LEDs de status (PrinterLeak).
No ano passado, Guri também demonstrou o AirKeyLogger, um ataque de keylogging de radiofrequência sem hardware que aproveita as emissões de rádio do poder da computação para extrair dados de teclas digitadas em tempo real de um invasor remoto.
“Para vazar dados confidenciais, a frequência operacional do processador é usada para gerar um padrão de saída elétrica na unidade de energia programada por teclas”, observou Guri no estudo. “As informações digitadas podem ser detectadas a poucos metros de distância com um receptor RF ou um smartphone com uma simples nota.”
Como é habitual com ataques desta natureza, exige que a rede isolada seja primeiro comprometida por outros meios – como intrusões maliciosas, unidades USB envenenadas ou ataques à cadeia de abastecimento – permitindo assim que o malware ative um canal para procurar dados confidenciais. . .
RAMBO não é diferente porque o malware é usado para manipular a RAM para gerar sinais de rádio em frequências de clock, que são então codificados usando a codificação Manchester e transmitidos para recepção remota.
Os dados codificados podem incluir teclas digitadas, documentos e informações biométricas. Por outro lado, um invasor pode usar o SDR para detectar sinais eletromagnéticos, decodificar e decodificar os dados e recuperar as informações vazadas.
“O malware usa emissões eletromagnéticas da RAM para processar dados e transferi-los”, disse o Dr. Guri. “Um atacante remoto com um receptor de rádio e uma nota pode receber a informação, decodificá-la e traduzi-la em sua representação binária ou de texto original.”
O processo poderia ser usado para vazar dados de computadores com slot aéreo executando CPUs Intel i7 de 3,6 GHz e 16 GB de RAM a 1.000 bits por segundo, descobriu o estudo, com pressionamentos de tecla extraídos em tempo real a 16 bits por chave.
“Uma chave de criptografia RSA de 4.096 bits pode ser gerada em 41,96 segundos em baixa velocidade e 4.096 bits em alta velocidade”, disse o Dr. Guri. “Informações biométricas, arquivos pequenos (.jpg) e documentos pequenos (.txt e .docx) requerem 400 segundos em baixa velocidade até alguns segundos em alta velocidade.”
“Isso mostra que o canal secreto do RAMBO pode ser usado para vazar informações curtas em um curto espaço de tempo.”
As contramedidas para evitar ataques incluem a aplicação de limites de zona “vermelho-preto” para transmissão de informações, o uso de um sistema de detecção de intrusão (IDS), o monitoramento do acesso à memória no nível do hipervisor, o uso de interruptores de rádio para bloquear comunicações sem fio e o uso de uma gaiola de Faraday.