استفاده از یک حمله جدید جهت سرقت اطلاعات شبکههای ایزوله
کارشناسان امنیت سایبری اخیرا یک حمله جانبی نوین شناسایی کردهاند که از انتشار امواج رادیویی توسط حافظه رم بهعنوان ابزاری برای استخراج دادهها بهره میبرد و با استفاده از سیگنالهای رادیویی میتواند دادههای حساس را کدگذاری و ارسال کند.
حمله سایبری نوعی اقدام نفوذی است که توسط هکرها به واسطه یک یا چند رایانه با هدف دسترسی به اطلاعات مهم افراد یا سازمان های مهم انجام می شود. بنابراین حمله سایبری به عنوان نقطه شروع برای اقدامات تخریبی از سوی مجرمان سایبری است که امری مهم در دنیای دیجیتال محسوب می شود.
بنابراین با توجه به اینکه فناوری در حال تغییر ساختارهای اقتصادی و اجتماعی هستند، همزمان حملات سایبری به صورت فزاینده ای پیچیده و پر تکرار شده اند و به اقتصاد جهانی نیز ضربات جدی وارد می کنند.
به طور مثال کارشناسان امنیت سایبری یک حمله جانبی نوین را شناسایی کرده اند که از انتشار امواج رادیویی توسط حافظه رم (RAM) بهعنوان ابزاری برای استخراج دادهها بهره میبرد و تهدیدی جدی برای شبکههای ایزوله از اینترنت (air-gapped networks) به شمار میرود.
شبکه ایزوله به نوعی از شبکهها گفته میشود که بهطور کامل از سایر شبکهها، بهویژه اینترنت، جدا شده باشد. این نوع شبکهها هیچگونه ارتباطی با شبکههای خارجی ندارند و اغلب برای محافظت از اطلاعات حساس، مانند دادههای مالی، نظامی یا امنیتی استفاده میشوند. این جداسازی فیزیکی و عدم دسترسی به اینترنت باعث میشود که شبکهها بهطور کلی از حملات سایبری و دسترسیهای غیرمجاز مصون بمانند.
این تکنیک حملهی جدید که با نام RAMBO (مخفف Radiation of Air-gapped Memory Bus for Offense) معرفی شده، با استفاده از سیگنالهای رادیویی تولید شده از طریق نرمافزار، میتواند دادههای حساسی همچون فایلها، تصاویر، اطلاعات بیومتریک و کلیدهای رمزنگاری را کدگذاری و ارسال کند.
این حمله از Software Defined Radio و یک آنتن معمولی استفاده میکند تا سیگنالهای رادیویی خام را از فاصلهای معین دریافت کرده و سپس آنها را رمزگشایی کرده و به اطلاعات باینری تبدیل کند. Software Defined Radio (رادیو تعریف شده توسط نرمافزار یا SDR) یک فناوری رادیویی است که در آن بخش عمدهای از پردازش سیگنالها که معمولاً توسط سختافزار انجام میشد، از طریق نرمافزار انجام میشود.
در واقع SDR ترکیبی از سختافزار و نرمافزار است. بخش سختافزاری شامل گیرنده و فرستنده رادیویی و آنتن است که سیگنالهای رادیویی را دریافت یا ارسال میکنند، اما پردازش این سیگنالها و تفسیر دادهها از طریق نرمافزار انجام میشود. این روش انعطافپذیری زیادی دارد و به کاربران اجازهی تحلیل و کنترل امواج رادیویی را با استفاده از برنامههای مختلف میدهد.
مانند بسیاری از حملات مشابه، پیشنیاز حمله RAMBO نیز نفوذ اولیه به شبکه ایزوله است که میتواند از طریق روشهایی همچون استفاده از افراد نفوذی، حافظههای USB آلوده یا حملات به زنجیره تأمین صورت گیرد. این نفوذ اولیه امکان فعالسازی بدافزار و ایجاد کانال مخفی برای استخراج دادهها را فراهم میکند.
درباره جزئیات بیشتر این نوع حمله گفته شده که در حمله RAMBO، بدافزار با دستکاری حافظه RAM، سیگنالهای رادیویی در فرکانسهای زمانی تولید میکند. این سیگنالها با استفاده از روش Manchester کدگذاری شده و از فاصلهای قابل توجه دریافت میشوند. تولید سیگنالهای رادیویی در فرکانسهای زمانی به این معناست که دستگاه (در اینجا حافظه RAM) سیگنالهای الکترومغناطیسی با الگوهای مشخص و در بازههای زمانی خاص تولید میکند.
به عبارت دیگر، با تغییرات در سرعت کارکرد پردازنده و حافظه رم، امواج الکترومغناطیسی تولید میشوند که میتوانند به شکل یک سیگنال رادیویی برای ارسال اطلاعات بهکار روند. این سیگنالها حاوی دادههایی هستند که در حافظه دستگاه وجود دارند و میتوان با تکنیکهای کدگذاری آنها را دریافت و تفسیر کرد.
اطلاعات کدگذاریشده میتواند شامل ضربات کلید، اسناد و دادههای بیومتریک باشد. مهاجم از طریق SDR این سیگنالها را دریافت کرده، آنها را رمزگشایی و دادههای استخراجشده را بازیابی میکند. Rambo امکان استخراج دادهها از کامپیوترهای ایزوله مجهز به پردازندههای Intel i۷ با سرعت ۳.۶ گیگاهرتز و ۱۶ گیگابایت رم را با سرعت ۱۰۰۰ بیت بر ثانیه فراهم میکند. ضربات کلید نیز بهصورت آنی با نرخ ۱۶ بیت برای هر کلید قابل استخراج هستند.
در کمترین سرعت، اطلاعات با سرعت ۱۰۰۰ بیت بر ثانیه استخراج میشوند. برای مثال، یک کلید رمزنگاری RSA به طول ۴۰۹۶ بیت میتواند در مدت ۴۱.۹۶ ثانیه استخراج شود و با افزایش سرعت استخراج، کلید رمزنگاری میتواند در مدت زمان ۴.۰۹۶ ثانیه استخراج شود. همچنین، اطلاعات بیومتریک، تصاویر کوچک (مانند فایلهای. jpg) و اسناد متنی کوچک (.txt و. docx) میتوانند در زمانهایی از ۴۰۰ ثانیه تا چند ثانیه (بسته به حجم و سرعت استخراج) منتقل شوند. این یافتهها نشان میدهند که کانال مخفی RAMBO میتواند برای نشت اطلاعات کوتاه طی دورههای زمانی محدود مورد استفاده قرار گیرد.
محققان در سالهای اخیر چندین سازوکار گوناگون برای استخراج اطلاعات محرمانه از شبکههای ایزوله توسعه دادهاند. از جمله این روشها میتوان به بهرهبرداری از کابلهای Serial ATA، ژیروسکوپهای MEMS، LED های کارت شبکه، و مصرف برق پویا اشاره کرد. دیگر رویکردهای غیرمتعارفی که معرفی شدهاند، شامل استخراج دادهها از طریق امواج صوتی تولید شده توسط فنهای کارت گرافیک، انتشار امواج فراصوت و صوت توسط بوقهای داخلی مادربورد و همچنین نمایشگرها و LED های پرینتر میشوند.
براساس اعلام مرکز ماهر، سال گذشته نیز حملهای به نام AirKeyLogger معرفی شد که بدون نیاز به سختافزار خاصی و با استفاده از امواج رادیویی تولید شده از منبع تغذیه رایانه، امکان ضبط لحظهای ضربات کلید را به مهاجمان میداد. در آن حمله، برای نشت دادههای محرمانه، فرکانسهای کاری پردازنده دستکاری میشدند تا الگوی انتشار امواج الکترومغناطیسی از منبع تغذیه بهواسطه ضربات کلید ماژوله شده و از فاصلهای معین قابل دریافت باشد.
در این راستا با توجه به مطالب گفته شده کارشناسان توصیه میکنند که میتوان به استفاده از محدودیتهای مناطق قرمز-سیاه برای انتقال اطلاعات (محدودیتهایی مربوط به تفکیک مناطق فیزیکی یا شبکهای که در آنها اطلاعات حساس (مناطق قرمز) از اطلاعات غیرحساس (مناطق سیاه) جدا نگه داشته میشوند)، بهرهگیری از سیستمهای تشخیص نفوذ، نظارت بر دسترسیهای حافظه در سطح هایپروایزر، استفاده از مسدودکنندههای رادیویی، و قرار دادن تجهیزات درون قفس فارادی (یک ساختار فلزی برای جلوگیری از ورود یا خروج امواج الکترومغناطیسی) اشاره کرد.
داس نوع دیگری از حملات است که اخیرا محققان نوع جدیدی از حمله انکار سرویس) را کشف کردند که به عنوان حمله D(HE)at شناخته میشود و با کمترین تلاش مهاجم برای غلبه بر سرورها عمل میکند.
این حمله از نیازهای محاسباتی پروتکل توافق کلید دیفی هلمن، به ویژه نوع زودگذر آن (DHE) با کمترین تلاش مهاجم برای غلبه بر سرورها بهرهبرداری میکند. پروتکل توافق کلید دیفی هلمن در یک کانال ناامن میان دو یا بیشتر موجودیت به منظور توافق طرفین برای رسیدن به یک کلید مشترک صورت میگیرد. موجودیتها بعد از ساخت این کلید مشترک، از آن برای رمزگذاری و رمزگشایی پیامهای مبادله شده خود استفاده میکنند.