Un gruppo di ricercatori israeliani ha sviluppato un nuovo attacco a canale laterale, soprannominato "RAMBO" (Radiation of Air-gapped Memory Bus for Offense), che sfrutta le radiazioni elettromagnetiche emesse dalla RAM di un dispositivo per trasmettere dati da computer isolati dalla rete (air-gapped).
Questo tipo di attacco rappresenta una seria minaccia per sistemi altamente protetti, come quelli utilizzati da governi, centrali nucleari e sistemi d'arma, progettati per essere scollegati da internet e da altre reti per evitare infezioni da malware e furti di dati.
Anche se i sistemi air-gapped sono isolati, non sono completamente immuni agli attacchi. Essi possono essere compromessi da malware introdotti tramite supporti fisici come chiavette USB o attraverso attacchi alla catena di approvvigionamento, spesso orchestrati da attori statali.
Una volta presente nel sistema, il malware può operare furtivamente modulando i componenti della RAM in modo da trasmettere informazioni sensibili tramite emissioni elettromagnetiche verso un ricevitore nelle vicinanze.
Il ricercatore Mordechai Guri, leader del team, ha già sviluppato metodi per sottrarre dati utilizzando diversi mezzi, come i LED delle schede di rete e i segnali RF delle chiavette USB. L'attacco RAMBO rappresenta la sua ultima innovazione in questo campo.
L'attacco RAMBO prevede che il cybercriminale introduca un malware nel computer air-gapped per raccogliere dati sensibili e preparali alla trasmissione. Il malware manipola i pattern di accesso alla memoria del dispositivo, generando emissioni elettromagnetiche controllate dalla RAM.
Queste emissioni vengono codificate in segnali binari (0 e 1) utilizzando la modulazione On-Off Keying (OOK), un processo che non viene monitorato dai sistemi di sicurezza tradizionali. I dati trasmessi possono essere intercettati da un ricevitore equipaggiato con una radio definita via software (SDR), che converte le emissioni in informazioni binarie.
L'attacco RAMBO permette di trasferire dati a una velocità massima di 1.000 bit al secondo, pari a 128 byte al secondo. Sebbene questa velocità sia relativamente bassa, è sufficiente per sottrarre piccole quantità di dati come password, sequenze di tasti o piccoli file. Ad esempio, il furto di una password può richiedere da 0,1 a 1,28 secondi, mentre per una chiave RSA a 4096 bit sono necessari tra 4 e 42 secondi.
Le trasmissioni possono coprire una distanza massima di 7 metri con un tasso di errore quasi nullo, ma i ricercatori hanno riscontrato che superare velocità di 5.000 bit al secondo riduce significativamente la qualità del segnale.
Il documento tecnico pubblicato su Arxiv suggerisce diverse strategie per mitigare l'attacco RAMBO, ma molte di queste soluzioni comportano un aumento del carico sui sistemi e non garantiscono una protezione assoluta contro attacchi futuri di questa natura.