Une nouvelle attaque RAMBO vole des données à partir de systèmes isolés par des signaux radio RAM

Les menaces de cybersécurité continuent d'évoluer et une nouvelle méthode de vol de données appelée attaque « RAMBO » représente un risque sérieux, même pour les systèmes isolés. Cette technique sophistiquée, développée par Mordechai Guri de l'Université Ben-Gurion du Néguev en Israël, permet aux attaquants d'exfiltrer des données à l'aide de signaux radio émis par la mémoire (RAM) de systèmes isolés. Voyons ce que cela signifie et comment cela affecte la cybersécurité.

Qu'est-ce qu'un système à espace d'air ?

Les systèmes isolés sont conçus pour être physiquement et logiquement séparés de tout réseau externe, tel qu'Internet. Les organisations utilisent l'isolation comme mesure de sécurité pour protéger les données critiques et sensibles des cybermenaces. Cependant, même si l'isolation améliore la sécurité, elle ne rend pas ces systèmes entièrement immunisés contre les attaques. Au fil des ans, plusieurs familles de logiciels malveillants , telles que Stuxnet , Fanny et PlugX , ont spécifiquement ciblé les systèmes isolés.

Comment fonctionne l'attaque RAMBO ?

L'attaque RAMBO (Radiated Memory Bus Oscillations) cible les ordinateurs isolés en exploitant les signaux électromagnétiques générés par leur RAM. Voici comment cela fonctionne :

1. Déploiement de logiciels malveillants : la première étape de l'attaque consiste à infecter le système isolé avec un logiciel malveillant. Cela peut se produire via une clé USB compromise, une attaque interne ou une vulnérabilité de la chaîne d'approvisionnement qui injecte le logiciel malveillant dans le matériel ou le logiciel.
2. Codage des données et transmission des signaux : Une fois le malware installé, il manipule la mémoire vive du système pour générer des signaux électromagnétiques codés. Le transfert rapide des données dans la mémoire vive crée de minuscules ondes électromagnétiques, qui peuvent diffuser des données à des fréquences spécifiques.
3. Exfiltration de données : les pirates utilisent du matériel SDR (Software-Defined Radio) et une antenne de base pour capturer ces signaux jusqu'à 7 mètres (23 pieds) de distance. Le logiciel malveillant code des informations sensibles, telles que des clés de chiffrement, des données biométriques, des images et des frappes au clavier, qui sont transmises via ces signaux radio. Le taux d'exfiltration est d'environ 1 000 bits par seconde, ce qui, bien que lent, est plus que suffisant pour divulguer des informations critiques.

La méthode RAMBO en détail

RAMBO est une nouvelle forme de communication par canal secret à intervalle d'air. Elle exploite les émissions électromagnétiques de la RAM, qui se produisent en raison des changements rapides de tension et de courant lors du transfert de données. Ces émissions sont directement influencées par des facteurs tels que la vitesse d'horloge du système et la largeur des données.

En contrôlant soigneusement les schémas d’accès à la mémoire, l’attaquant peut générer un signal binaire. Ce signal peut ensuite être reçu et décodé par l’attaquant à l’aide d’un matériel SDR et d’une antenne standard. Le chercheur à l’origine de cette méthode, Mordechai Guri, a démontré avec succès comment cette attaque peut faire fuir des données de systèmes isolés vers des récepteurs proches.

Comment les systèmes à espace libre sont-ils encore vulnérables ?

Beaucoup pensent que les systèmes isolés des réseaux sont intouchables, car ils sont isolés des réseaux. Mais cette attaque prouve le contraire. L'isolement physique seul ne peut pas protéger contre des techniques avancées comme l'attaque RAMBO, qui exploite des comportements matériels fondamentaux qui peuvent être observés et capturés sans fil.

Bien qu'il existe des dizaines de souches de malwares documentées ciblant les systèmes isolés, RAMBO présente un risque unique car il ne nécessite pas d'accès physique direct pour exfiltrer les données. L'attaquant n'a besoin que d'infecter le système avec le malware et de disposer d'un appareil pour capturer les signaux électromagnétiques à courte distance.

Contre-mesures défensives contre les attaques RAMBO

Heureusement, il existe des contre-mesures qui peuvent aider à se défendre contre les attaques de type RAMBO :

1. Blindage et cages de Faraday : Enfermer des systèmes critiques dans des cages de Faraday peut bloquer les émissions électromagnétiques, empêchant ainsi la transmission du signal.
2. Générateurs de brouillage et de bruit : Le déploiement de brouilleurs électromagnétiques ou de générateurs de bruit peut interférer avec les signaux émis par la RAM, ce qui rend difficile pour les attaquants de capturer des données claires.
3. Détection améliorée des logiciels malveillants : le renforcement des protocoles de détection des logiciels malveillants sur les systèmes isolés peut aider à identifier et à éliminer les menaces avant qu'elles ne puissent manipuler la RAM pour générer des signaux.
4. Réduction des émissions électromagnétiques : les fabricants de matériel peuvent se concentrer sur la conception de systèmes avec des émissions électromagnétiques réduites, ce qui rend plus difficile la réussite de ces attaques.

Réflexions finales

L'attaque RAMBO démontre la nature évolutive des cybermenaces, prouvant que même les systèmes isolés ne sont pas invulnérables. Comprendre le fonctionnement de ces attaques est essentiel pour développer des défenses robustes. Les organisations disposant de données extrêmement sensibles doivent envisager de mettre en œuvre des mesures de protection telles que le blindage des signaux et l'amélioration de leurs capacités de détection des programmes malveillants pour se prémunir contre cette forme avancée de vol de données.

Pour des informations plus détaillées et les dernières mises à jour en matière de sécurité informatique, restez à l'écoute d'EnigmaSoftware.com. Gardez toujours une longueur d'avance sur les cybercriminels en renforçant vos systèmes et en mettant en œuvre les meilleures défenses contre les menaces émergentes comme l'attaque RAMBO.