Investigadores convierten la RAM en una antena de radio para robarte tus secreto

Iniciado por AXCESS, Septiembre 11, 2024, 12:27:35 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Incluso un ordenador aislado en una habitación sellada puede ser accedido por un extraño con una antena barata, explotando un nuevo ataque RAMBO.

Los gobiernos e instituciones como los bancos dependen de sistemas aislados de Internet para sus operaciones o datos más críticos y sensibles. Sin embargo, los mainframes fuera de línea no son inmunes a las amenazas externas, según un artículo del Dr. Mordechai Guri, investigador de la Universidad Ben-Gurion del Néguev, Israel.

El investigador abusó del bus de memoria de acceso aleatorio (RAM) de un ordenador para generar señales de radio y transmitir datos. En teoría, este método podría ser explotado por atacantes externos para interceptar y robar datos sensibles sin ningún acceso físico o a Internet al sistema de espacio de aire.

El investigador denominó este ataque RAMBO, o Radiation of Air-gapped Memory Bus for Offense (Radiación de Bus de Memoria con Espacio de Aire para Ofensa).

"El malware en un ordenador comprometido puede generar señales de radio desde buses de memoria (RAM). Mediante señales de radio generadas por software, el malware puede codificar información sensible como archivos, imágenes, keylogging, información biométrica y claves de cifrado. "Con un hardware de radio definido por software (SDR) y una antena estándar, un atacante puede interceptar señales de radio transmitidas a distancia", dijo el investigador.

El ancho de banda alcanzado fue de 1000 bits por segundo, lo que significa que se necesitarían casi 100 días para descargar 1 GB de datos.

Un atacante aún tendría que infectar el equipo objetivo con malware para hacer posible esta transmisión electromagnética. Los sistemas air gap están aislados física y lógicamente de cualquier red o canal de comunicación.

Sin embargo, múltiples incidentes han demostrado que las redes air gap no son inmunes a las infracciones. Stuxnet fue una de las cepas de malware más famosas que logró cruzar este límite.

En el pasado se descubrieron más de veinticinco variantes de malware que atacaban a sistemas air gap, incluidos USBStealer, Agent.BTZ, Fanny, MiniFlame, Flame y otros. El código malicioso podría introducirse a través de USB, actualizaciones comprometidas u otros medios.

Una vez comprometido, el bus RAM del sistema, que consiste en líneas eléctricas que conectan el procesador a los módulos de memoria, comienza a transmitir datos a través de ondas electromagnéticas, que pueden ser interceptadas por un atacante remoto.

Una estación de trabajo con espacio de aire transmite una imagen secreta de Optimus Prime
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"Cuando se transfieren datos a través de un bus de RAM, se producen cambios rápidos de voltaje y corriente, principalmente en el bus de datos. Estas transiciones de voltaje crean campos electromagnéticos, que pueden irradiar energía electromagnética a través de interferencias electromagnéticas (EMI) o interferencias de radiofrecuencia (RFI)", explica el investigador en un artículo.

Utilizando un ordenador con una CPU Intel i7 de 3,6 GHz y 16 GB de RAM que funciona a una frecuencia de 2,133 - 2,400 GHz, Guri demostró que se pueden transferir archivos pequeños en unos 400 segundos a una distancia de 7 metros (23 pies). El ancho de banda es suficiente para ejecutar un keylogger en tiempo real. Distancias más pequeñas producirían aumentos de velocidad.

"Este método podría utilizarse para exfiltrar tipos arbitrarios de información, como registros de pulsaciones de teclas, archivos, imágenes, datos biométricos, etc.", advirtió el investigador.

"Con este método, los atacantes pueden filtrar datos de ordenadores altamente aislados y con un espacio de aire a un receptor cercano a una tasa de bits de cientos de bits por segundo".

El documento también proporciona algunas medidas para contrarrestar dichos ataques, como restricciones de zona, sistemas de detección de intrusiones en el host, monitoreo del espectro electromagnético externo, bloqueo del funcionamiento de la RAM interna, reducciones de radio y recintos de Faraday.

Fuente:
CyberNews
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta