Novi RAMBO napad za krađu podataka

Radio manipulacija preko magistrale (eng. RAdio Manipulation of Buses Over – RAMBO) je sofisticirana tehnika napada prikrivenog kanala koja iskorištava memorijske operacije u izolovanim sistemima (eng. air-gapped systems) za eksfiltriranje osjetljivih podataka. Manipulisanjem instrukcijama vezanih za memoriju, zlonamjerni akter može da kôdira i modulira informacije o elektromagnetnim talasima koje emituju memorijske magistrale. Ovaj napad su otkrili sigurnosni istraživači sa Univerziteta Ben-Gurion, Negev, Izrael.

RAMBO

Novi RAMBO napad za krađu podataka; Source: Bing Image Creator

RAMBO NAPAD

RAMBO napad je metoda koju zlonamjerni akter koristi za eksfiltriranje informacija iz izolovanih sistema, odnosno sistema koji su fizički izolovani ili mreže koje nisu direktno povezane putem žičanih ili bežičnih sredstava. U ovom specifičnom scenariju napada, zlonamjerni softver unutar zaražene radne stanice koristi elektromagnetne emisije iz RAM memorije kao prikriveni kanal za prenos osjetljivih podataka.

Modulirani elektromagnetni signali se presreću pomoću softverski definisanog radija (eng. Software-Defined Radio – SDR) sa antenom od strane udaljenog zlonamjernog aktera. Mančester kôd ili fazni kôd se koristi tokom ove faze za detekciju grešaka i sinhronizaciju signala, obezbeđujući tačno dekodiranje na kraju prijemnika.

 

Funkcionisanje

Proces počinje tako što zlonamjerni akter dobije početni pristup ciljanom sistemu, često putem društvenog inženjeringa ili fizičkih sredstava. Kada uđe, instalira zlonamjerni softver dizajniran posebno za komunikaciju preko radio frekvencija – kao što su softverski definisani radio uređaji (SDR) i antene.

Zlonamjerni softver zatim kôdira podatke koji se eksfiltriraju u radio signale koristeći različite tehnike modulacije kao što su digitalna amplitudna modulacija (eng. Amplitude Shift Keying – ASK), modulacija frekventnim pomjeranjem (eng. Frequency Shift Keying – FSK) ili digitalna fazna modulacija (eng. Phase Shift Keying – PSK). Ovi kôdirani signali mogu da nose širok spektar informacija, uključujući podatke o korisničkom unosu (eng. keylogging), dokumente, slike, pa čak i biometrijske informacije. Udaljeni zlonamjerni akter sa radio prijemnikom i antenom može primiti informacije, demodulirati ih i dekodirati u njihov originalni binarni ili tekstualni prikaz.

RAMBO napad može postići brzinu prenosa podataka do 1.000 bita u sekundi (bps), što je ekvivalentno 128 bajtova u sekundi ili 0,125 KB/s. Ova stopa transfera je relativno spora u poređenju sa tradicionalnim metodama žične i bežične komunikacije, ali i dalje predstavlja značajnu prijetnju zbog ciljane prirode ovog napada na izolovane sisteme. Primarni fokus RAMBO napada je na krađu male količine informacija, poput teksta, pritisaka na tastere ili manjih datoteka, što ga čini efikasnim alatom za zlonamjerne aktere koji žele da zaobiđu mjere bezbjednosti i dobiju neovlašteni pristup osjetljivim podacima.

Sigurnosni istraživači uključeni u studiju izvijestili su da je praćenje korisničkog unosa u realnom vremenu moguće uz ovaj metod, što ga čini značajnom prijetnjom za organizacije koje se bave povjerljivim informacijama. Praćenje korisničkog unosa u realnom vremenu može dovesti do različitih oblika unutrašnjih prijetnji, kao što su krađa podataka ili krađa intelektualne svojine. Pored toga, krađa lozinki traje između 0,1 do 1,28 sekundi korišćenjem RAMBO napada, dok krađa RSA ključa za šifrovanje traje približno 4 do 42 sekunde za eksfiltraciju u zavisnosti od brzine prenosa. Mala slika se može prenijeti za bilo koje vreme od 25 do 250 sekundi, što je čini održivom opcijom za krađu osvetljivih datoteka ili dokumenata.

Opseg prenosa podataka RAMBO napada je ograničen zbog njegovog oslanjanja na elektromagnetne emisije i njihova svojstva širenja. Sigurnosni istraživači su otkrili da se efikasna komunikacija može postići do oko 300 cm sa prihvatljivom stopom greške u bitovima od približno 2-4%. Ovo ograničenje čini da je od suštinskog značaja za zlonamjernog aktera da zadrži blizinu ciljanom sistemu, povećavajući šanse za otkrivanje i potencijalne protivmjere.

Jedan značajan izazov u ​​implementaciji RAMBO napada leži u niskim brzinama prenosa podataka u poređenju sa tradicionalnim metodama komunikacije. Sigurnosni istraživači su eksperimentisali sa prenosom do 10.000 bps, ali su otkrili da sve što prelazi 5.000 bps rezultira veoma niskim odnosom signal-šum za efikasan prenos podataka. Ovo ograničenje čini RAMBO napad manje pogodnim za eksfiltraciju podataka velikih razmjera i naglašava njegov primarni fokus na krađi male količine informacija iz izolovanih sistema.

 

ZAKLJUČAK

RAMBO napad je metoda koju zlonamjerni akter koristi za presretanje i eksfiltriranje podataka iz sistema putem elektromagnetnih emisija koje proizvode digitalne komponente, kao što je RAM memorija. Elektromagnetne emisije iz digitalnih komponenti obuhvataju širok opseg frekvencija koji uključuje osnovne frekvencije, subharmonike i lažne misije. Zlonamjerni akter može koristiti softverski definisan radio (SDR) sa antenom da presretne modulisanu elektromagnetnu emisiju i pretvori ih nazad u binarne informacije.

Zbog odnosa brzine i šuma, napada funkcioniše pri malim brzinama prenosa, zbog čega je RAMBO napad pogodan a krađu malih količina podataka poput teksta, pritisaka na tastere i malih datoteka, a ne velikih skupova podataka ili osjetljivih informacija koje zahtijevaju prenos velike brzine. Tu je i maksimalni domet za brze prenose koji koriste ovaj napad je ograničen na približno 300 cm, sa stopom greške u bitovima od oko 2-4%. Ovo ograničenje čini izazovom za zlonamjernog aktera da cilja sisteme sa velike udaljenosti, dodajući još jedan nivo bezbjednosti za organizacije i pojedince zabrinite zbog ugrožavanja podataka.

RAMBO napad predstavlja značajne rizike i za pojedince i za organizacije u smislu privatnosti i bezbjednosti podataka. Na primjer, izolovani sistemi se često koriste za zaštitu osvetljivih informacija koje ne mogu biti izložene spoljnim mrežama zbog svoje povjerljive prirode – kao što su intelektualna svojina, finansijski zapisi ili lične informacije koje mogu da identifikuju pojedince.

Sposobnost zlonamjernog aktera da zaobiđu ove zaštite koristeći radio signale može dovesti do ozbiljnih posljedica. Za pojedince, to bi moglo značiti krađu informacija koje ih mogu identifikovati i kasnije prevare zloupotrebom identiteta. U slučaju organizacija, to bi moglo rezultirati dostupnošću podataka koji ugrožavaju intelektualnu svojinu ili poslovne tajne, što dovodi do finansijskih gubitaka i štete po reputaciju.

Štaviše, propisi poput GDPR zahtijevaju od organizacija da primjene odgovarajuće tehničke i organizacione mjere za zaštitu ličnih podataka od neovlaštenog pristupa, otkrivanja, izmjene ili uništenja. Sposobnost RAMBO napada da zaobiđe ove zaštite može dovesti do značajnih kazni zbog nepoštovanja ovog propisa.

 

ZAŠTITA

Za efikasnu odbranu od RAMBO napada, preporučuje se primjena kombinacije kontramjera zbog različitih nivoa zaštite koji svaki pristup nudi. Evo nekih predloženih metoda zasnovanih na istraživačkom radu:

  1. Sprovoditi striktno fizičko razdvajanje između kritičnih sistema i potencijalnih radio prijemnika. Pored toga, koristiti Faradejeve kaveze ili kućišta oko kritičnih sistema da bi se blokirali elektromagnetne emisije. Ovo će ograničiti površinu napada za protivnika koji pokušava RAMBO napad smanjenjem njegove sposobnosti da presretne signale sa memorijskih magistrala,
  2. Pratiti obrasce pristupa memoriji koji bi mogli da ukažu na generisanje zlonamjernog signala. Sistemi za otkrivanje upada zasnovani na hostu i nadgledanje na nivou hipervizora mogu pomoći u otkrivanju sumnjivih obrazaca pristupa memoriji, što može ukazivati na pokušaj manipulacije memorijom za prikrivenu komunikaciju. Ranim identifikovanjem ovih aktivnosti mogu se preduzeti odgovarajuće mjere koje će spriječiti dalje napredovanje napada,
  3. Koristite bezbjedan hardver koji ima bezbjednosne funkcije koje štite od elektromagnetnih emisija i radiofrekventnih smetnji (eng. radio frequency interference – RFI). Na primjer, koristite SSD uređaje umjesto tradicionalnih čvrstih diskova, jer emituju manje elektromagnetnog zračenja. Pored toga, razmisliti o korišćenju specijalizovanih memorijskih modula sa ugrađenim mogućnostima zaštite ili šifrovanja kako bi se spriječio neovlašteni pristup i eksfiltracija podataka preko tajnih kanala,
  4. Održavajte sisteme ažurnim sa najnovijim bezbjednosnim ispravkama i verzijama softvera. Ovo će pomoći u zaštiti od poznatih ranjivosti koje bi zlonamjerni akteri mogli da iskoriste za RAMBO Pored toga, osigurati da se sve periferne jedinice povezane sa kritičnim sistemima takođe redovno ažuriraju kako bi se potencijalni rizici sveli na minimum,
  5. Koristiti zaštitne zidove, sisteme za otkrivanje i/ili prevenciju upada (eng. intrusion detection/prevention systems – IDS/IPS) i druge mjere bezbjednosti mreže da se nadgleda i kontroliše saobraćaj između različitih dijelova infrastrukture. Ovo će pomoći da se spriječi da zlonamjerni akteri uspostave uporište u okruženju i pokrenu RAMBO napad na izolovane sisteme,
  6. Obučiti korisnike o rizicima povezanim sa tajnim kanalima, kao što je RAMBO napad, i kako mogu nenamjerno da doprinesu bezbjednosnim ranjivostima svojim radnjama (npr. korišćenje neobezbijeđenih USB diskova). Podstaknuti jake prakse lozinki, autentifikaciju u više koraka i druge dobre higijenske navike sajber bezbjednosti da bi se smanjio rizik da zlonamjerni akter uopšte dobije pristup sistemima,
  7. Vršite redovne bezbjednosne procjene i penetracijska testiranja da bi se identifikovale ranjivosti koje bi mogle da budu iskorišćene RAMBO napadom ili bilo kojom drugom vrstom napada preko tajnog kanala. Ovo će pomoći da se ostane ispred potencijalnih prijetnji i osigurati da su protivmjere efikasne u zaštiti od ovih napada,

 

Primjenom gore navedenih mjera, organizacije mogu značajno da smanje svoju izloženost riziku od RAMBO napada i zaštite osjetljive podatke uskladištene na izolovanim sistemima. Međutim, važno je zapamtiti da nijedno rješenje ne pruža potpunu odbranu od svih vrsta prijetnji. Višeslojni bezbjednosni pristup je neophodan za efikasno obezbjeđenje infrastrukture od poznatih i novih napada.

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.