Une nouvelle attaque par canal auxiliaire a été découverte, qui exploite les signaux radio émis par la mémoire vive (RAM) d’un appareil comme mécanisme d’exfiltration de données, constituant une menace pour les réseaux isolés.
La technique a été baptisée « nom de code » RAMBO par le Dr Mordechai Guri, chef du laboratoire de recherche cybernétique offensive du département d’ingénierie des logiciels et des systèmes d’information de l’université Ben Gourion du Néguev en Israël.
« En utilisant des signaux radio générés par des logiciels, les logiciels malveillants peuvent coder des informations sensibles telles que des fichiers, des images, des enregistrements de frappe, des informations biométriques et des clés de cryptage », explique le Dr Guri. dit dans un article de recherche récemment publié.
« Avec un matériel radio défini par logiciel (SDR) et une simple antenne standard, un attaquant peut intercepter les signaux radio bruts transmis à distance. Les signaux peuvent ensuite être décodés et retranscrits en informations binaires. »
Au fil des années, le Dr Guri a concocté divers mécanismes pour extraire des données confidentielles des réseaux hors ligne en tirant parti des câbles Serial ATA (SATAn), du gyroscope MEMS (GAIROSCOPE), des LED sur les cartes d’interface réseau (ETHERLED) et de la consommation d’énergie dynamique (COVID-bit).
Certaines des autres approches non conventionnelles conçues par le chercheur impliquent la fuite de données à partir de réseaux isolés via des signaux acoustiques secrets générés par les ventilateurs de l’unité de traitement graphique (GPU) (VENTILATEUR GPU), ondes (ultra)soniques produites par les buzzers intégrés à la carte mère (EL GRILLO), et même des panneaux d’affichage d’imprimante et des voyants d’état (Fuite d’imprimante).
L’année dernière, Guri a également démontré Enregistreur de clés AirKeyLoggerune attaque d’enregistrement de frappe par radiofréquence sans matériel qui utilise les émissions radio de l’alimentation d’un ordinateur pour exfiltrer les données de frappe en temps réel vers un attaquant distant.
« Pour divulguer des données confidentielles, les fréquences de fonctionnement du processeur sont manipulées pour générer un modèle d’émissions électromagnétiques provenant du bloc d’alimentation modulé par les frappes sur les touches », a noté Guri dans l’étude. « Les informations sur les frappes sur les touches peuvent être reçues à plusieurs mètres de distance via un récepteur RF ou un smartphone doté d’une simple antenne. »
Comme toujours avec les attaques de ce type, le réseau isolé doit d’abord être compromis par d’autres moyens (par un initié malveillant, des clés USB empoisonnées ou une attaque de la chaîne d’approvisionnement), ce qui permet au logiciel malveillant de déclencher le canal secret d’exfiltration de données.
RAMBO ne fait pas exception dans la mesure où le logiciel malveillant est utilisé pour manipuler la RAM de manière à pouvoir générer des signaux radio à des fréquences d’horloge, qui sont ensuite codés à l’aide de Encodage Manchester et transmis de manière à être reçu à distance.
Les données codées peuvent inclure des frappes au clavier, des documents et des informations biométriques. Un attaquant à l’autre extrémité peut alors exploiter la SDR pour recevoir les signaux électromagnétiques, démoduler et décoder les données et récupérer les informations exfiltrées.
« Le logiciel malveillant utilise les émissions électromagnétiques de la RAM pour moduler les informations et les transmettre vers l’extérieur », a expliqué le Dr Guri. « Un attaquant distant équipé d’un récepteur radio et d’une antenne peut recevoir les informations, les démoduler et les décoder dans leur représentation binaire ou textuelle d’origine. »
Cette technique pourrait être utilisée pour divulguer des données provenant d’ordinateurs isolés fonctionnant avec des processeurs Intel i7 à 3,6 GHz et 16 Go de RAM à 1 000 bits par seconde, selon les recherches, les frappes au clavier étant exfiltrées en temps réel avec 16 bits par touche.
« Une clé de chiffrement RSA de 4096 bits peut être exfiltrée en 41,96 secondes à faible vitesse et en 4,096 bits à grande vitesse », a déclaré le Dr Guri. « Les informations biométriques, les petits fichiers (.jpg) et les petits documents (.txt et .docx) nécessitent 400 secondes à faible vitesse et quelques secondes à grande vitesse. »
« Cela indique que le canal secret RAMBO peut être utilisé pour divulguer des informations relativement brèves sur une courte période. »
Les contre-mesures pour bloquer l’attaque incluent l’application de restrictions de zone « rouge-noir » pour le transfert d’informations, l’utilisation d’un système de détection d’intrusion (IDS), la surveillance de l’accès à la mémoire au niveau de l’hyperviseur, l’utilisation de brouilleurs radio pour bloquer les communications sans fil et l’utilisation d’une cage de Faraday.