Атака RAMBO позволила красть данные из оперативной памяти в изолированных ПК с помощью ЭМ-излучения

Новая атака по сторонним каналам под названием «RAMBO» (Radiation of Air-gapped Memory Bus for Offense) генерирует электромагнитное излучение из оперативной памяти устройств для отправки данных с изолированных компьютеров.

Такие системы, обычно используемые в критически важных средах с исключительно высокими требованиями к безопасности, изолированы от общедоступного Интернета и других сетей для предотвращения заражения вредоносным ПО и кражи данных. Хотя они не подключены к сети, но могут быть заражены вредоносами через физические носители или посредством сложных атак на цепочку поставок.

Новый метод, который относится ко второй категории, был разработан исследователями израильского университета под руководством Мордехая Гури, опытного эксперта по скрытым каналам атак. Ранее он разработал методы кражи данных с использованием светодиодов сетевых карт, радиочастотных сигналов USB-накопителей, кабелей SATA и источников питания.

Чтобы провести атаку RAMBO, злоумышленник устанавливает вредоносное ПО на изолированном компьютере для сбора конфиденциальных данных и подготовки их к передаче. Он передаёт данные, манипулируя шаблонами доступа к памяти (операциями чтения/записи на шине памяти) для генерации контролируемых электромагнитных излучений из ОЗУ устройства.

По сути, он использует побочное явление при быстром переключении вредоносным ПО электрических сигналов в ОЗУ. Этот процесс не отслеживается активно средствами безопасности и не может быть остановлен. Излучаемые данные кодируются в «1» и «0», представленные в радиосигналах как «вкл.» и «выкл.». 

Исследователи решили использовать манчестерское кодирование для улучшения обнаружения ошибок и обеспечения синхронизации сигнала, что снижает вероятность неправильной интерпретации на