Ein neuartiger Seitenkanalangriff nutzt nachweislich Funksignale, die vom Arbeitsspeicher (RAM) eines Geräts ausgehen, als Mechanismus zur Datenexfiltration und stellen so eine Bedrohung für nicht vernetzte Netzwerke dar.
Die Technik wurde von Dr. Mordechai Guri, dem Leiter des Offensive Cyber Research Lab in der Abteilung für Software- und Informationssystemtechnik an der Ben-Gurion-Universität des Negev in Israel, mit dem Codenamen RAMBO versehen.
„Mithilfe von softwaregenerierten Funksignalen kann Malware sensible Informationen wie Dateien, Bilder, Keylogging, biometrische Informationen und Verschlüsselungsschlüssel kodieren“, sagte Dr. Guri in einer neu veröffentlichten Forschungsarbeit.
„Mit softwaredefinierter Funkhardware (SDR) und einer einfachen handelsüblichen Antenne kann ein Angreifer übertragene rohe Funksignale aus der Ferne abfangen. Die Signale können dann dekodiert und wieder in binäre Informationen zurückübersetzt werden.“
Im Laufe der Jahre hat Dr. Guri verschiedene Mechanismen entwickelt, um vertrauliche Daten aus Offline-Netzwerken zu extrahieren, indem er Serial-ATA-Kabel (SATAn), MEMS-Gyroskope (GAIROSCOPE), LEDs auf Netzwerkkarten (ETHERLED) und den dynamischen Stromverbrauch (COVID-bit) ausnutzte.
Zu den anderen unkonventionellen Ansätzen des Forschers gehört das Abgreifen von Daten aus nicht vernetzten Netzwerken über verdeckte akustische Signale, die von Lüftern von Grafikprozessoren (GPU-FAN) erzeugt werden, (Ultra-)Schallwellen, die von eingebauten Motherboard-Summern (EL-GRILLO) erzeugt werden, und sogar Druckeranzeigetafeln und Status-LEDs (PrinterLeak).
Letztes Jahr demonstrierte Guri auch AirKeyLogger, einen hardwarelosen Hochfrequenz-Keylogging-Angriff, der Funkemissionen aus dem Netzteil eines Computers nutzt, um Echtzeit-Tastatureingabedaten an einen entfernten Angreifer zu übertragen.
„Um vertrauliche Daten zu verlieren, werden die Arbeitsfrequenzen des Prozessors so manipuliert, dass sie ein Muster elektromagnetischer Emissionen von der durch Tastatureingaben modulierten Leistungseinheit erzeugen“, bemerkte Guri in der Studie. „Die Tastenanschlag-Informationen können über mehrere Meter Entfernung über einen HF-Empfänger oder ein Smartphone mit einer einfachen Antenne empfangen werden.“
Wie immer bei Angriffen dieser Art muss das nicht vernetzte Netzwerk zunächst mit anderen Mitteln kompromittiert werden – beispielsweise durch einen abtrünnigen Insider, vergiftete USB-Laufwerke oder einen Lieferkettenangriff –, damit die Malware den verdeckten Datenexfiltrationskanal auslösen kann.
RAMBO ist da keine Ausnahme, da die Malware verwendet wird, um den Arbeitsspeicher so zu manipulieren, dass er Funksignale mit Taktfrequenzen erzeugen kann, die dann mithilfe der Manchester-Codierung codiert und so übertragen werden, dass sie aus der Ferne empfangen werden können.
Die kodierten Daten können Tastenanschläge, Dokumente und biometrische Informationen umfassen. Ein Angreifer auf der anderen Seite kann dann SDR nutzen, um die elektromagnetischen Signale zu empfangen, die Daten zu demodulieren und zu dekodieren und die exfiltrierten Informationen abzurufen.
„Die Malware nutzt elektromagnetische Emissionen aus dem RAM, um die Informationen zu modulieren und nach außen zu übertragen“, sagte Dr. Guri. „Ein entfernter Angreifer mit einem Funkempfänger und einer Antenne kann die Informationen empfangen, demodulieren und in ihre ursprüngliche binäre oder Textdarstellung dekodieren.“
Die Technik könnte verwendet werden, um Daten von nicht vernetzten Computern mit Intel i7 3,6-GHz-CPUs und 16 GB RAM mit 1.000 Bit pro Sekunde zu verlieren, wie die Untersuchung ergab, wobei Tastenanschläge in Echtzeit mit 16 Bit pro Taste exfiltriert werden.
„Ein 4096-Bit-RSA-Verschlüsselungsschlüssel kann mit 41,96 Sekunden bei niedriger Geschwindigkeit und 4,096 Bit bei hoher Geschwindigkeit exfiltriert werden“, sagte Dr. Guri. „Biometrische Informationen, kleine Dateien (.jpg) und kleine Dokumente (.txt und .docx) benötigen 400 Sekunden bei der niedrigen Geschwindigkeit bis zu wenigen Sekunden bei den hohen Geschwindigkeiten.“
„Dies weist darauf hin, dass der verdeckte RAMBO-Kanal verwendet werden kann, um relativ kurze Informationen über einen kurzen Zeitraum zu verlieren.“
Zu den Gegenmaßnahmen, um den Angriff zu blockieren, gehören die Durchsetzung von „Rot-Schwarz“-Zonenbeschränkungen für den Informationstransfer, die Verwendung eines Intrusion Detection Systems (IDS), die Überwachung des Speicherzugriffs auf Hypervisor-Ebene, die Verwendung von Funkstörsendern, um die drahtlose Kommunikation zu blockieren, und die Verwendung eines Faraday-Käfigs.