استفاده از حمله جدید RAMBO جهت سرقت اطلاعات از شبکههای ایزوله
یک حمله جانبی نوین شناسایی شده است که از انتشار امواج رادیویی توسط حافظه رم (RAM) بهعنوان ابزاری برای استخراج دادهها بهره میبرد و تهدیدی جدی برای شبکههای ایزوله از اینترنت (air-gapped networks) به شمار میرود. شبکه ایزوله به نوعی از شبکهها گفته میشود که بهطور کامل از سایر شبکهها، بهویژه اینترنت، جدا شده باشد. این نوع شبکهها هیچگونه ارتباطی با شبکههای خارجی ندارند و اغلب برای محافظت از اطلاعات حساس، مانند دادههای مالی، نظامی یا امنیتی استفاده میشوند. این جداسازی فیزیکی و عدم دسترسی به اینترنت باعث میشود که شبکهها بهطور کلی از حملات سایبری و دسترسیهای غیرمجاز مصون بمانند.
این تکنیک حملهی جدید که با نام RAMBO (مخفف Radiation of Air-gapped Memory Bus for Offense) معرفی شده، با استفاده از سیگنالهای رادیویی تولید شده از طریق نرمافزار، میتواند دادههای حساسی همچون فایلها، تصاویر، اطلاعات بیومتریک و کلیدهای رمزنگاری را کدگذاری و ارسال کند.
این حمله از Software Defined Radio و یک آنتن معمولی استفاده میکند تا سیگنالهای رادیویی خام را از فاصلهای معین دریافت کرده و سپس آنها را رمزگشایی کرده و به اطلاعات باینری تبدیل کند. Software Defined Radio (رادیو تعریف شده توسط نرمافزار یا SDR) یک فناوری رادیویی است که در آن بخش عمدهای از پردازش سیگنالها که معمولاً توسط سختافزار انجام میشد، از طریق نرمافزار انجام میشود. در واقع SDR ترکیبی از سختافزار و نرمافزار است. بخش سختافزاری شامل گیرنده و فرستنده رادیویی و آنتن است که سیگنالهای رادیویی را دریافت یا ارسال میکنند، اما پردازش این سیگنالها و تفسیر دادهها از طریق نرمافزار انجام میشود. این روش انعطافپذیری زیادی دارد و به کاربران اجازهی تحلیل و کنترل امواج رادیویی را با استفاده از برنامههای مختلف میدهد.
مانند بسیاری از حملات مشابه، پیشنیاز حمله RAMBO نیز نفوذ اولیه به شبکه ایزوله است که میتواند از طریق روشهایی همچون استفاده از افراد نفوذی، حافظههای USB آلوده یا حملات به زنجیره تأمین صورت گیرد. این نفوذ اولیه امکان فعالسازی بدافزار و ایجاد کانال مخفی برای استخراج دادهها را فراهم میکند.
در حمله RAMBO، بدافزار با دستکاری حافظه RAM، سیگنالهای رادیویی در فرکانسهای زمانی تولید میکند. این سیگنالها با استفاده از روش Manchester کدگذاری شده و از فاصلهای قابل توجه دریافت میشوند. تولید سیگنالهای رادیویی در فرکانسهای زمانی به این معناست که دستگاه (در اینجا حافظه RAM) سیگنالهای الکترومغناطیسی با الگوهای مشخص و در بازههای زمانی خاص تولید میکند. به عبارت دیگر، با تغییرات در سرعت کارکرد پردازنده و حافظه رم، امواج الکترومغناطیسی تولید میشوند که میتوانند به شکل یک سیگنال رادیویی برای ارسال اطلاعات بهکار روند. این سیگنالها حاوی دادههایی هستند که در حافظه دستگاه وجود دارند و میتوان با تکنیکهای کدگذاری آنها را دریافت و تفسیر کرد.
اطلاعات کدگذاریشده میتواند شامل ضربات کلید، اسناد و دادههای بیومتریک باشد. مهاجم از طریق SDR این سیگنالها را دریافت کرده، آنها را رمزگشایی و دادههای استخراجشده را بازیابی میکند.
Rambo امکان استخراج دادهها از کامپیوترهای ایزوله مجهز به پردازندههای Intel i7 با سرعت 3.6 گیگاهرتز و 16 گیگابایت رم را با سرعت 1000 بیت بر ثانیه فراهم میکند. ضربات کلید نیز بهصورت آنی با نرخ 16 بیت برای هر کلید قابل استخراج هستند.
در کمترین سرعت، اطلاعات با سرعت 1000 بیت بر ثانیه استخراج میشوند. برای مثال، یک کلید رمزنگاری RSA به طول 4096 بیت میتواند در مدت 41.96 ثانیه استخراج شود و با افزایش سرعت استخراج، کلید رمزنگاری میتواند در مدت زمان 4.096 ثانیه استخراج شود. همچنین، اطلاعات بیومتریک، تصاویر کوچک (مانند فایلهای .jpg) و اسناد متنی کوچک (.txt و .docx) میتوانند در زمانهایی از 400 ثانیه تا چند ثانیه (بسته به حجم و سرعت استخراج) منتقل شوند.
این یافتهها نشان میدهند که کانال مخفی RAMBO میتواند برای نشت اطلاعات کوتاه طی دورههای زمانی محدود مورد استفاده قرار گیرد.
محققان در سالهای اخیر چندین سازوکار گوناگون برای استخراج اطلاعات محرمانه از شبکههای ایزوله توسعه دادهاند. از جمله این روشها میتوان به بهرهبرداری از کابلهای Serial ATA، ژیروسکوپهای MEMS، LEDهای کارت شبکه، و مصرف برق پویا اشاره کرد. دیگر رویکردهای غیرمتعارفی که معرفی شدهاند، شامل استخراج دادهها از طریق امواج صوتی تولید شده توسط فنهای کارت گرافیک، انتشار امواج فراصوت و صوت توسط بوقهای داخلی مادربورد و همچنین نمایشگرها و LEDهای پرینتر میشوند.
سال گذشته نیز حملهای به نام AirKeyLogger معرفی شد که بدون نیاز به سختافزار خاصی و با استفاده از امواج رادیویی تولید شده از منبع تغذیه رایانه، امکان ضبط لحظهای ضربات کلید را به مهاجمان میداد.
در آن حمله، برای نشت دادههای محرمانه، فرکانسهای کاری پردازنده دستکاری میشدند تا الگوی انتشار امواج الکترومغناطیسی از منبع تغذیه بهواسطه ضربات کلید ماژوله شده و از فاصلهای معین قابل دریافت باشد.
توصیههای امنیتی
از جمله اقدامات پیشگیرانه برای مقابله با این حمله میتوان به استفاده از محدودیتهای مناطق قرمز-سیاه برای انتقال اطلاعات (محدودیتهایی مربوط به تفکیک مناطق فیزیکی یا شبکهای که در آنها اطلاعات حساس (مناطق قرمز) از اطلاعات غیرحساس (مناطق سیاه) جدا نگه داشته میشوند)، بهرهگیری از سیستمهای تشخیص نفوذ، نظارت بر دسترسیهای حافظه در سطح هایپروایزر، استفاده از مسدودکنندههای رادیویی، و قرار دادن تجهیزات درون قفس فارادی (یک ساختار فلزی برای جلوگیری از ورود یا خروج امواج الکترومغناطیسی) اشاره کرد.