استفاده از حمله جدید RAMBO جهت سرقت اطلاعات از شبکه‌های ایزوله

استفاده از حمله جدید RAMBO جهت سرقت اطلاعات از شبکه‌های ایزوله

تاریخ ایجاد

یک حمله جانبی نوین شناسایی شده‌ است که از انتشار امواج رادیویی توسط حافظه رم (RAM) به‌عنوان ابزاری برای استخراج داده‌ها بهره می‌برد و تهدیدی جدی برای شبکه‌های ایزوله از اینترنت (air-gapped networks) به شمار می‌رود. شبکه ایزوله به نوعی از شبکه‌ها گفته می‌شود که به‌طور کامل از سایر شبکه‌ها، به‌ویژه اینترنت، جدا شده‌ باشد. این نوع شبکه‌ها هیچ‌گونه ارتباطی با شبکه‌های خارجی ندارند و اغلب برای محافظت از اطلاعات حساس، مانند داده‌های مالی، نظامی یا امنیتی استفاده می‌شوند. این جداسازی فیزیکی و عدم دسترسی به اینترنت باعث می‌شود که شبکه‌ها به‌طور کلی از حملات سایبری و دسترسی‌های غیرمجاز مصون بمانند.
این تکنیک حمله‌ی جدید که با نام RAMBO (مخفف Radiation of Air-gapped Memory Bus for Offense) معرفی شده، با استفاده از سیگنال‌های رادیویی تولید شده از طریق نرم‌افزار، می‌تواند داده‌های حساسی همچون فایل‌ها، تصاویر، اطلاعات بیومتریک و کلیدهای رمزنگاری را کدگذاری و ارسال کند.
این حمله از Software Defined Radio و یک آنتن معمولی استفاده می‌کند تا سیگنال‌های رادیویی خام را از فاصله‌ای معین دریافت کرده و سپس آن‌ها را رمزگشایی کرده و به اطلاعات باینری تبدیل کند. Software Defined Radio (رادیو تعریف شده توسط نرم‌افزار یا SDR) یک فناوری رادیویی است که در آن بخش عمده‌ای از پردازش سیگنال‌ها که معمولاً توسط سخت‌افزار انجام می‌شد، از طریق نرم‌افزار انجام می‌شود. در واقع SDR ترکیبی از سخت‌افزار و نرم‌افزار است. بخش سخت‌افزاری شامل گیرنده و فرستنده رادیویی و آنتن است که سیگنال‌های رادیویی را دریافت یا ارسال می‌کنند، اما پردازش این سیگنال‌ها و تفسیر داده‌ها از طریق نرم‌افزار انجام می‌شود. این روش انعطاف‌پذیری زیادی دارد و به کاربران اجازه‌ی تحلیل و کنترل امواج رادیویی را با استفاده از برنامه‌های مختلف می‌دهد.
مانند بسیاری از حملات مشابه، پیش‌نیاز حمله RAMBO نیز نفوذ اولیه به شبکه ایزوله است که می‌تواند از طریق روش‌هایی همچون استفاده از افراد نفوذی، حافظه‌های USB آلوده یا حملات به زنجیره تأمین صورت گیرد. این نفوذ اولیه امکان فعال‌سازی بدافزار و ایجاد کانال مخفی برای استخراج داده‌ها را فراهم می‌کند.
در حمله RAMBO، بدافزار با دستکاری حافظه RAM، سیگنال‌های رادیویی در فرکانس‌های زمانی تولید می‌کند. این سیگنال‌ها با استفاده از روش Manchester کدگذاری شده و از فاصله‌ای قابل توجه دریافت می‌شوند. تولید سیگنال‌های رادیویی در فرکانس‌های زمانی به این معناست که دستگاه (در اینجا حافظه RAM) سیگنال‌های الکترومغناطیسی با الگوهای مشخص و در بازه‌های زمانی خاص تولید می‌کند. به عبارت دیگر، با تغییرات در سرعت کارکرد پردازنده و حافظه رم، امواج الکترومغناطیسی تولید می‌شوند که می‌توانند به شکل یک سیگنال رادیویی برای ارسال اطلاعات به‌کار روند. این سیگنال‌ها حاوی داده‌هایی هستند که در حافظه دستگاه وجود دارند و می‌توان با تکنیک‌های کدگذاری آن‌ها را دریافت و تفسیر کرد.
اطلاعات کدگذاری‌شده می‌تواند شامل ضربات کلید، اسناد و داده‌های بیومتریک باشد. مهاجم از طریق SDR این سیگنال‌ها را دریافت کرده، آن‌ها را رمزگشایی و داده‌های استخراج‌شده را بازیابی می‌کند.
Rambo امکان استخراج داده‌ها از کامپیوترهای ایزوله مجهز به پردازنده‌های Intel i7 با سرعت 3.6 گیگاهرتز و 16 گیگابایت رم را با سرعت 1000 بیت بر ثانیه فراهم می‌کند. ضربات کلید نیز به‌صورت آنی با نرخ 16 بیت برای هر کلید قابل استخراج هستند.
در کمترین سرعت، اطلاعات با سرعت 1000 بیت بر ثانیه استخراج می‌شوند. برای مثال، یک کلید رمزنگاری RSA به طول 4096 بیت می‌تواند در مدت 41.96 ثانیه استخراج شود و با افزایش سرعت استخراج، کلید رمزنگاری می‌تواند در مدت زمان 4.096 ثانیه استخراج شود. همچنین، اطلاعات بیومتریک، تصاویر کوچک (مانند فایل‌های .jpg) و اسناد متنی کوچک (.txt و .docx) می‌توانند در زمان‌هایی از 400 ثانیه تا چند ثانیه (بسته به حجم و سرعت استخراج) منتقل شوند.
این یافته‌ها نشان می‌دهند که کانال مخفی RAMBO می‌تواند برای نشت اطلاعات کوتاه طی دوره‌های زمانی محدود مورد استفاده قرار گیرد.
محققان در سال‌های اخیر چندین سازوکار گوناگون برای استخراج اطلاعات محرمانه از شبکه‌های ایزوله توسعه داده‌اند. از جمله این روش‌ها می‌توان به بهره‌برداری از کابل‌های Serial ATA، ژیروسکوپ‌های MEMS، LEDهای کارت شبکه، و مصرف برق پویا اشاره کرد. دیگر رویکردهای غیرمتعارفی که معرفی شده‌اند، شامل استخراج داده‌ها از طریق امواج صوتی تولید شده توسط فن‌های کارت گرافیک، انتشار امواج فراصوت و صوت توسط بوق‌های داخلی مادربورد و همچنین نمایشگرها و LEDهای پرینتر می‌شوند.
سال گذشته نیز حمله‌ای به نام AirKeyLogger  معرفی شد که بدون نیاز به سخت‌افزار خاصی و با استفاده از امواج رادیویی تولید شده از منبع تغذیه رایانه، امکان ضبط لحظه‌ای ضربات کلید را به مهاجمان می‌داد.
در آن حمله، برای نشت داده‌های محرمانه، فرکانس‌های کاری پردازنده دستکاری می‌شدند تا الگوی انتشار امواج الکترومغناطیسی از منبع تغذیه به‌واسطه ضربات کلید ماژوله شده و از فاصله‌ای معین قابل دریافت باشد.

توصیه‌های امنیتی
از جمله اقدامات پیشگیرانه برای مقابله با این حمله می‌توان به استفاده از محدودیت‌های مناطق قرمز-سیاه برای انتقال اطلاعات (محدودیت‌هایی مربوط به تفکیک مناطق فیزیکی یا شبکه‌ای که در آن‌ها اطلاعات حساس (مناطق قرمز) از اطلاعات غیرحساس (مناطق سیاه) جدا نگه داشته می‌شوند)، بهره‌گیری از سیستم‌های تشخیص نفوذ، نظارت بر دسترسی‌های حافظه در سطح هایپروایزر، استفاده از مسدودکننده‌های رادیویی، و قرار دادن تجهیزات درون قفس فارادی (یک ساختار فلزی برای جلوگیری از ورود یا خروج امواج الکترومغناطیسی) اشاره کرد.

منبع خبر:


[1] https://thehackernews.com/2024/09/new-rambo-attack-uses-ram-radio-signals.html?m=1