Se ha descubierto un nuevo ataque de canal lateral que aprovecha las señales de radio emitidas desde la memoria de acceso aleatorio (RAM) de un dispositivo como mecanismo de filtración de datos, lo que representa una amenaza para las redes aisladas.
La técnica se llamó “nombre en clave” RAMBO por el Dr. Mordechai Guri, Jefe del Laboratorio de Investigación Cibernética Ofensiva del Departamento de Ingeniería de Software y Sistemas de Información de la Universidad Ben-Gurion del Negev en Israel.
“Utilizando señales de radio generadas por software, el malware puede codificar información confidencial como archivos, imágenes, pulsaciones de teclas, información biométrica y claves de cifrado”, afirma el Dr. Guri. dicho en un artículo de investigación publicado recientemente.
“Con hardware de radio definido por software (SDR) y una antena estándar simple, un atacante puede interceptar señales de radio sin procesar transmitidas de forma remota. Luego, las señales se pueden decodificar y transcribir en información binaria. »
A lo largo de los años, el Dr. Guri ha inventado varios mecanismos para extraer datos confidenciales de redes fuera de línea aprovechando cables Serial ATA (SATAn), giroscopio MEMS (GAIROSCOPE), LED en tarjetas de interfaz de red (ETHERLED) y consumo de energía dinámico (COVID-bit).
Algunos de los otros enfoques no convencionales ideados por el investigador implican la filtración de datos de redes aisladas a través de señales acústicas encubiertas generadas por ventiladores de la unidad de procesamiento de gráficos (GPU).VENTILADOR DE GPU), ondas (ultra)sónicas producidas por los zumbadores integrados en la placa base (EL GRILLO), e incluso paneles de visualización de la impresora y luces de estado (Fuga de impresora).
El año pasado, Guri también demostró Registrador de claves AirKeyLoggerun ataque de registro de teclas por radiofrecuencia sin hardware que utiliza emisiones de radio de la fuente de alimentación de una computadora para filtrar datos de pulsaciones de teclas en tiempo real a un atacante remoto.
“Para filtrar datos confidenciales, las frecuencias operativas del procesador se manipulan para generar un patrón de emisiones electromagnéticas de la fuente de alimentación moduladas por pulsaciones de teclas”, señaló Guri en el estudio. “La información sobre las pulsaciones de teclas se puede recibir a varios metros de distancia mediante un receptor de RF o un teléfono inteligente con una simple antena. »
Como siempre ocurre con los ataques de este tipo, la red aislada primero debe verse comprometida por otros medios (mediante un interno malicioso, unidades USB envenenadas o un ataque a la cadena de suministro), permitiendo que el malware active el canal secreto de exfiltración de datos.
RAMBO no es una excepción, ya que el malware se utiliza para manipular la RAM de tal manera que pueda generar señales de radio a velocidades de reloj, que luego se codifican usando codificación de Manchester y transmitidos para ser recibidos remotamente.
Los datos codificados pueden incluir pulsaciones de teclas, documentos e información biométrica. Un atacante en el otro extremo puede explotar el SDR para recibir señales electromagnéticas, demodular y decodificar los datos y recuperar la información exfiltrada.
“El malware utiliza emisiones electromagnéticas de la RAM para modular la información y transmitirla hacia el exterior”, explicó el Dr. Guri. “Un atacante remoto equipado con un receptor de radio y una antena puede recibir la información, demodularla y decodificarla en su representación binaria o textual original. »
La técnica podría usarse para filtrar datos de computadoras aisladas que ejecutan procesadores Intel i7 de 3,6 GHz y 16 GB de RAM a 1.000 bits por segundo, según muestra la investigación, con pulsaciones de teclas filtradas en tiempo real con 16 bits por tecla.
“Una clave de cifrado RSA de 4096 bits se puede extraer en 41,96 segundos a baja velocidad y 4,096 bits a alta velocidad”, dijo el Dr. Guri. “La información biométrica, los archivos pequeños (.jpg) y los documentos pequeños (.txt y .docx) requieren 400 segundos a baja velocidad y unos pocos segundos a alta velocidad. »
“Esto indica que el canal encubierto RAMBO se puede utilizar para filtrar información relativamente breve durante un corto período de tiempo. »
Las contramedidas para bloquear el ataque incluyen la aplicación de restricciones de zona “roja-negra” para la transferencia de información, el uso de un sistema de detección de intrusos (IDS), el control del acceso a la memoria a nivel de hipervisor, el uso de bloqueadores de radio para bloquear las comunicaciones inalámbricas y el uso de un Jaula de Faraday.