„RAMBO“ nutzt Funksignale aus RAM-Bausteinen zum Datenklau bei abgeschotteten Systemen
Eine neuartige Seitenkanal-Attacke wurde entdeckt, die Funksignale aus dem Arbeitsspeicher (RAM) nutzt. Diese Signale werden als Mittel zum Datendiebstahl bei isolierten, nicht mit einem Netzwerk verbundenen Systemen ("Air-Gap") eingesetzt.
Die Methode wurde von Dr. Mordechai Guri, dem Leiter des Offensive Cyber Research Lab im Fachbereich Software- und Informationssystemtechnik an der Ben Gurion Universität des Negev in Israel, als „RAMBO“ (kurz für „Radiation of Air-gapped Memory Bus for Offense“) bezeichnet.
„In einem neu veröffentlichten Forschungspapier erklärt Dr. Guri: „Mit softwaregenerierten Funksignalen kann Schadsoftware sensible Informationen wie Dateien, Bilder, Tastatureingaben, biometrische Daten und Verschlüsselungsschlüssel codieren. Mit SDR-Hardware (softwaredefiniertes Radio) und einer einfachen, handelsüblichen Antenne kann ein Angreifer die ausgesendeten Funksignale aus der Ferne abfangen. Die Signale können dann dekodiert und in binäre Informationen zurückübersetzt werden.“
Im Laufe der Jahre hat Dr. Guri verschiedene Methoden entwickelt, um vertrauliche Daten aus offline arbeitenden Netzwerken zu extrahieren, indem er Schwachstellen von SATA-Kabeln (SATAn), MEMS-Gyroskopen (GAIROSCOPE), LEDs von Netzwerkkarten (ETHERLED) und dynamischem Stromverbrauch (COVID-bit) ausnutzte.
Zu den weiteren unkonventionellen Ansätzen des Forschers gehören das Leaken von Daten aus isolierten Netzwerken über verdeckte akustische Signale, die von den Lüftern von Grafikkarten erzeugt werden (GPU-FAN), (ultra)sonische Wellen von eingebauten Motherboard-Summern (EL-GRILLO) sowie Datenlecks über Anzeigetafeln und Status-LEDs von Druckern (PrinterLeak). Zuletzt hatte er den PIXHELL-Angriff entdeckt, bei dem sensible Informationen über das Rauschen der Pixel auf dem Bildschirm herausgeschleust werden.
Letztes Jahr demonstrierte Dr. Guri auch AirKeyLogger, einen hardwarelosen Keylogging-Angriff über Funkfrequenzen, der die Funksignale eines Computernetzteils nutzt, um Tastatureingaben in Echtzeit an einen entfernten Angreifer zu übermitteln.
„Um vertrauliche Daten zu leaken, werden die Arbeitsfrequenzen des Prozessors manipuliert, um ein Muster elektromagnetischer Emissionen aus dem Netzteil zu erzeugen, das durch Tastatureingaben moduliert wird“, erklärte Dr. Guri in der Studie. „Die Informationen über die Tastatureingaben können in mehreren Metern Entfernung über einen RF-Empfänger oder ein Smartphone mit einer einfachen Antenne empfangen werden.“
Wie bei solchen Angriffen üblich, muss das air-gapped Netzwerk (ein isoliertes System) zuerst auf andere Weise kompromittiert werden – etwa durch einen böswilligen Insider, verseuchte USB-Sticks oder einen Angriff auf die Lieferkette. Erst dann kann die Schadsoftware den verdeckten Kanal zur Datenexfiltration aktivieren.
RAMBO ist keine Ausnahme. Hier wird die Malware eingesetzt, um den Arbeitsspeicher (RAM) so zu manipulieren, dass er Funksignale in Taktfrequenzen erzeugt. Diese Signale werden dann mit Manchester-Codierung verschlüsselt und können aus der Ferne empfangen werden.
Die kodierten Daten können Tastatureingaben, Dokumente oder biometrische Informationen enthalten. Ein Angreifer kann die elektromagnetischen Signale mit SDR (softwaredefiniertes Radio) empfangen, demodulieren, dekodieren und so die exfiltrierten Informationen zurückgewinnen.
„Die Malware nutzt elektromagnetische Emissionen des RAM, um die Informationen zu modulieren und nach außen zu senden“, erklärt Dr. Guri. „Ein entfernter Angreifer mit einem Funkempfänger und einer Antenne kann die Informationen empfangen, demodulieren und in ihre ursprüngliche binäre oder textuelle Form zurückverwandeln.“
Die Technik könnte verwendet werden, um Daten von air-gapped Computern mit Intel i7 3,6 GHz Prozessoren und 16 GB RAM mit einer Geschwindigkeit von 1.000 Bits pro Sekunde zu leaken. Tastatureingaben können in Echtzeit mit 16 Bits pro Tastendruck exfiltriert werden.
„Ein 4.096-Bit RSA-Verschlüsselungsschlüssel könnte in 41,96 Sekunden bei niedriger Geschwindigkeit und in 4,096 Sekunden bei hoher Geschwindigkeit exfiltriert werden“, so Dr. Guri. „Biometrische Informationen, kleine Dateien (wie .jpg) und kleine Dokumente (.txt und .docx) benötigen bei niedriger Geschwindigkeit 400 Sekunden und bei hoher Geschwindigkeit nur wenige Sekunden. Das zeigt, dass der RAMBO-Kanal verwendet werden kann, um relativ kurze Informationen über einen kurzen Zeitraum zu leaken.“
Gegenmaßnahmen gegen diesen Angriff umfassen die Durchsetzung von „Red-Black“-Zonen (strikte Trennung von unklassifizierten und klassifizierten Bereichen), den Einsatz eines Intrusion Detection Systems (IDS), die Überwachung des Speicherzugriffs auf Hypervisor-Ebene, den Einsatz von Störsendern zur Blockierung drahtloser Kommunikation und die Verwendung eines Faradayschen Käfigs.