Foi descoberto um novo ataque de canal lateral que utiliza sinais de rádio emitidos pela memória de acesso aleatório (RAM) de um dispositivo como um mecanismo de exfiltração de dados, representando uma ameaça às redes isoladas.
A técnica recebeu o codinome RAMBO pelo Dr. Mordechai Guri, chefe do Laboratório de Pesquisa Cibernética Ofensiva do Departamento de Engenharia de Software program e Sistemas de Informação da Universidade Ben Gurion do Negev, em Israel.
“Usando sinais de rádio gerados por software program, o malware pode codificar informações confidenciais, como arquivos, imagens, keylogging, informações biométricas e chaves de criptografia”, disse o Dr. Guri em um artigo de pesquisa recém-publicado.
“Com {hardware} de rádio definido por software program (SDR) e uma antena simples pronta para uso, um invasor pode interceptar sinais de rádio brutos transmitidos à distância. Os sinais podem então ser decodificados e traduzidos de volta para informações binárias.”
Ao longo dos anos, o Dr. Guri criou vários mecanismos para extrair dados confidenciais de redes offline aproveitando cabos Serial ATA (SATAn), giroscópio MEMS (GAIROSCOPE), LEDs em placas de interface de rede (ETHERLED) e consumo dinâmico de energia (COVID-bit).
Algumas das outras abordagens não convencionais desenvolvidas pelo pesquisador envolvem o vazamento de dados de redes isoladas por meio de sinais acústicos ocultos gerados por ventiladores de unidades de processamento gráfico (GPU) (GPU-FAN), ondas (ultrassônicas) produzidas por campainhas integradas na placa-mãe (EL-GRILLO) e até mesmo painéis de exibição de impressoras e LEDs de standing (PrinterLeak).
No ano passado, Guri também demonstrou o AirKeyLogger, um ataque de registro de teclas de radiofrequência sem {hardware} que transforma emissões de rádio da fonte de alimentação de um computador em uma arma para extrair dados de pressionamento de tecla em tempo actual para um invasor remoto.
“Para vazar dados confidenciais, as frequências de trabalho do processador são manipuladas para gerar um padrão de emissões eletromagnéticas da unidade de energia moduladas por toques de tecla”, observou Guri no estudo. “As informações de toque de tecla podem ser recebidas a distâncias de vários metros por meio de um receptor RF ou um smartphone com uma antena simples.”
Como sempre acontece com ataques desse tipo, é necessário que a rede isolada seja primeiro comprometida por outros meios — como um invasor interno, unidades USB envenenadas ou um ataque à cadeia de suprimentos — permitindo assim que o malware acione o canal secreto de exfiltração de dados.
O RAMBO não é exceção, pois o malware é usado para manipular a RAM de modo que ela possa gerar sinais de rádio em frequências de clock, que são então codificados usando a codificação Manchester e transmitidos para serem recebidos à distância.
Os dados codificados podem incluir pressionamentos de teclas, documentos e informações biométricas. Um invasor na outra ponta pode então alavancar o SDR para receber os sinais eletromagnéticos, demodular e decodificar os dados e recuperar as informações exfiltradas.
“O malware utiliza emissões eletromagnéticas da RAM para modular as informações e transmiti-las para fora”, disse o Dr. Guri. “Um invasor remoto com um receptor de rádio e antena pode receber as informações, demodulá-las e decodificá-las em sua representação binária ou textual unique.”
A técnica poderia ser usada para vazar dados de computadores com isolamento acústico, executando CPUs Intel i7 de 3,6 GHz e 16 GB de RAM a 1.000 bits por segundo, descobriu a pesquisa, com pressionamentos de tecla sendo exfiltrados em tempo actual com 16 bits por tecla.
“Uma chave de criptografia RSA de 4096 bits pode ser exfiltrada em 41,96 segundos em baixa velocidade e 4,096 bits em alta velocidade”, disse o Dr. Guri. “Informações biométricas, arquivos pequenos (.jpg) e documentos pequenos (.txt e .docx) requerem 400 segundos em baixa velocidade e alguns segundos em alta velocidade.”
“Isso indica que o canal secreto RAMBO pode ser usado para vazar informações relativamente breves em um curto período.”
As contramedidas para bloquear o ataque incluem a aplicação de restrições de zona “vermelha-preta” para transferência de informações, o uso de um sistema de detecção de intrusão (IDS), o monitoramento do acesso à memória no nível do hipervisor, o uso de bloqueadores de rádio para bloquear comunicações sem fio e o uso de uma gaiola de Faraday.
