Ізраїльські дослідники показали атаку RAMBO (Radiation of Air-gapped Memory Bus for Offense), яка заснована на електромагнітному випромінюванні оперативної пам’яті. Цей метод дає змогу викрадати інформацію з комп’ютерів, які фізично ізольовані від будь-яких мереж і потенційно небезпечної периферії.

Хоча зазвичай ізольовані системи не підключені до мереж, вони все одно можуть бути скомпрометовані. Наприклад, атаку може здійснити співробітник, принісши шкідливе ПЗ на фізичному носії (USB-накопичувачі), або такі системи можуть зазнати складних атак на ланцюжок поставок.

У підсумку шахрай отримає можливість діяти приховано, керуючи оперативною пам’яттю пристрою так, щоб забезпечити передачу секретів одержувачу, який перебуває поблизу.

Саме таку атаку, що отримала назву RAMBO, продемонстрував ізраїльський ІБ-фахівець, доктор Мордехай Гурі (Mordechai Guri), керівник R&D відділу в центрі дослідження кібербезпеки в Університеті імені Бен-Гуріона.

Для проведення атаки зловмисник повинен встановити малварь на ізольовану машину. Шкідник збиратиме конфіденційні дані та готуватиме їх до передачі. Розроблена експертами малварь передає дані, маніпулюючи шаблонами доступу до пам’яті (операціями читання/запису на шині пам’яті) для створення контрольованих патернів електромагнітних випромінювань.

Такі випромінювання, по суті, є побічним ефектом від швидкого перемикання електричних сигналів (OOK, On-Off Keying) в оперативній пам’яті. За цим не можуть активно стежити захисні продукти, і такий процес не можна помітити або зупинити.

Дані, що передаються з ізольованої системи, кодуються в нулі та одиниці. Дослідники віддали перевагу використанню манчестерського кодування, щоб поліпшити виявлення помилок і забезпечити синхронізацію сигналу, знижуючи ймовірність неправильної інтерпретації на приймаючій стороні.

Зловмисник може використовувати відносно недорогий пристрій SDR (Software-Defined Radio) з антеною для перехоплення електромагнітних сигналів і перетворення їх назад у бінарні дані.

Дослідники пишуть, що RAMBO забезпечує швидкість передачі даних до 1000 біт за секунду, тобто близько 128 байт за секунду. За такої швидкості для викрадення 1 МБ даних знадобиться приблизно 2,2 години, тому RAMBO більше підходить для крадіжки невеликих обсягів інформації: тексту, невеликих файлів, перехоплення натискань клавіш.

Наприкінці своєї доповіді експерти наводять кілька рекомендацій щодо захисту від RAMBO та інших подібних атак. Серед рекомендацій: суворе визначення закритих зон для посилення фізичного захисту, створення перешкод і зовнішнє глушіння електромагнітного випромінювання, використання клітин Фарадея для повної ізоляції захищених систем.