Исследователи перехватывают данные с модулей оперативной памяти ПК

Команда израильских исследователей из Университета Бен-Гуриона под руководством Мордехая Гури разработала способ беспроводной передачи данных для изолированного компьютера с помощью электромагнитных передач, излучаемых его RAM-модулями, сообщает BleepingComputer. Изолированный ПК — это компьютер, который не подключен ни к одной сети — будь то Ethernet, Wi-Fi, Bluetooth или любая другая форма удаленного подключения к данным. Теоретически это сделало бы практически невозможным получение данных с этого устройства без физического доступа злоумышленника к нему.

Однако Гури и его команда нашли способ использовать слабость каждого электронного компьютера — его электромагнитные передачи — для извлечения данных без проводного или беспроводного соединения. Этот тип атаки, называемый RAMBO или Radiation of Air-gapped Memory Bus for Offense, выполняется путем установки вредоносного ПО на целевой ПК. Затем оно запускает атаку On-Off Keying (OOK), которая тайно и быстро переключает сигналы в оперативной памяти.

Поскольку электронные устройства (например, модули оперативной памяти) всегда излучают радиочастотные сигналы, какими бы слабыми они ни были, злоумышленник может перехватить непрерывную коммутацию радиосигналов, поступающих из оперативной памяти через программно-определяемую радиосистему, и записать их в виде двоичной информации.

В тестах RAMBO мог перемещать данные только со скоростью около 128 байт в секунду (0,125 КБ/с), что довольно медленно (около 450 килобайт в час) по сравнению с огромными объемами данных, которые мы небрежно передаем сегодня. Тем не менее, он все еще может быть полезен для кражи текстовых файлов, нажатий клавиш, паролей и даже небольших изображений с низким разрешением.

Поскольку этот тип атаки не отслеживается большинством продуктов безопасности, обнаружить его, если он происходит, не представляется возможным. Самым сложным для любого злоумышленника будет установить вредоносное ПО на изолированную систему. Скорее всего, будет использован какой-то метод социальной инженерии, например, брошенная флешка. Это может показаться невероятным, но это был предполагаемый вектор атаки, использованный в атаках Stuxnet против Ирана.

После того, как целевой компьютер был поражен, злоумышленник должен находиться поблизости, чтобы записать радиочастотное (РЧ) излучение. Приемное устройство должно находиться на расстоянии не более трех метров (или 10 футов) от цели для быстрой и оперативной передачи. С другой стороны, передачи со средней скоростью работают на расстоянии до 4,5 метров (или 15 футов), а медленные передачи возможны на расстоянии до семи метров или 23 футов.

В то время как злоумышленнику необходимо иметь поблизости приемник для сбора радиочастотных данных от своей цели, шпионские агентства не раз доказывали свое мастерство проникновения даже в самые защищенные места для размещения устройств сбора данных.

Это не первый раз, когда Гури разрабатывает новые и необычные способы извлечения данных. Их команда разработала кибератаки, нацеленные на блоки питания, яркость монитора, вибрации вентилятора ПК и даже кабель SATA. Однако сложность, требуемая для этой атаки, означает, что среднестатистический пользователь компьютера, скорее всего, не будет затронут. В конце концов, ресурсы, задействованные в RAMBO, вряд ли окупят кражу номеров кредитных карт или социального страхования. Но если вы являетесь государственным учреждением, использующим изолированный ПК для управления ядерными ракетами вашей страны, то вам лучше быть начеку.

Источник: Tomshardware.com