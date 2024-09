Une nouvelle attaque par canal auxiliaire baptisée « RAMBO » (Radiation of Air-gapped Memory Bus for Offense) génère un rayonnement électromagnétique à partir de la RAM d’un appareil pour envoyer des données à partir d’ordinateurs isolés.

Les systèmes isolés, généralement utilisés dans des environnements critiques avec des exigences de sécurité exceptionnellement élevées, tels que les gouvernements, les systèmes d’armes et les centrales nucléaires, sont isolés de l’Internet public et d’autres réseaux pour empêcher les infections par des logiciels malveillants et le vol de données.

Bien que ces systèmes ne soient pas connectés à un réseau plus large, ils peuvent néanmoins être infectés par des employés malveillants introduisant des logiciels malveillants via des supports physiques (clés USB) ou par des attaques sophistiquées de la chaîne d’approvisionnement menées par des acteurs étatiques.

Le logiciel malveillant peut fonctionner de manière furtive pour moduler les composants de la RAM du système isolé de manière à permettre le transfert de secrets de l’ordinateur vers un destinataire à proximité.

La dernière méthode qui entre dans cette catégorie d’attaques provient de chercheurs universitaires israéliens dirigés par Mordechai Guri, un expert expérimenté dans les canaux d’attaque secrets qui a déjà développé des méthodes pour divulguer des données à l’aide de LED de cartes réseau, de signaux RF de clés USB, de câbles SATA et d’alimentations.

Comment fonctionne l’attaque RAMBO

Pour mener l’attaque Rambo, un attaquant installe un logiciel malveillant sur l’ordinateur isolé afin de collecter des données sensibles et de les préparer à la transmission. Il transmet les données en manipulant les modèles d’accès à la mémoire (opérations de lecture/écriture sur le bus mémoire) pour générer des émissions électromagnétiques contrôlées à partir de la RAM de l’appareil.

Ces émissions sont essentiellement un sous-produit du changement rapide des signaux électriques du logiciel malveillant (On-Off Keying « OOK ») dans la RAM, un processus qui n’est pas activement surveillé par les produits de sécurité et qui ne peut pas être signalé ou arrêté.

Code pour effectuer la modulation OOK

Source : Arxiv.org

Les données émises sont codées en « 1 » et « 0 », représentées dans les signaux radio par « on » et « off ». Les chercheurs ont choisi d’utiliser Code de Manchester pour améliorer la détection des erreurs et assurer la synchronisation du signal, réduisant ainsi les risques d’interprétations incorrectes du côté du récepteur.

L’attaquant peut utiliser une radio logicielle (SDR) relativement peu coûteuse dotée d’une antenne pour intercepter les émissions électromagnétiques modulées et les reconvertir en informations binaires.

Signal EM du mot « DATA »

Source : Arxiv.org

Performances et limites

L’attaque RAMBO atteint des taux de transfert de données allant jusqu’à 1 000 bits par seconde (bps), ce qui équivaut à 128 octets par seconde, ou 0,125 Ko/s.

À ce rythme, il faudrait environ 2,2 heures pour exfiltrer 1 mégaoctet de données, donc RAMBO est plus adapté au vol de petites quantités de données comme du texte, des frappes au clavier et des petits fichiers.

Les chercheurs ont découvert que l’enregistrement des frappes pouvait être effectué en temps réel lors des tests de l’attaque. Cependant, le vol d’un mot de passe prend entre 0,1 et 1,28 seconde, celui d’une clé RSA de 4096 bits entre 4 et 42 secondes et celui d’une petite image entre 25 et 250 secondes, selon la vitesse de transmission.

Vitesses de transmission des données

Source : Arxiv.org

Les transmissions rapides sont limitées à une portée maximale de 300 cm (10 pieds), avec un taux d’erreur binaire de 2 à 4 %. Les transmissions à vitesse moyenne augmentent la distance à 450 cm (15 pieds) pour le même taux d’erreur. Enfin, les transmissions lentes avec des taux d’erreur proches de zéro peuvent fonctionner de manière fiable sur des distances allant jusqu’à 7 mètres (23 pieds).

Les chercheurs ont également expérimenté des transmissions allant jusqu’à 10 000 bps, mais ont découvert que tout ce qui dépasse 5 000 bps entraîne un rapport signal/bruit très faible pour une transmission de données efficace.

Arrêter RAMBO

Le article technique publié sur Arxiv fournit plusieurs recommandations d’atténuation pour atténuer l’attaque RAMBO et les attaques similaires par canal secret basées sur l’électromagnétisme, mais elles introduisent toutes diverses surcharges.

Les recommandations incluent des restrictions de zone strictes pour améliorer la défense physique, le brouillage RAM pour perturber les canaux secrets à la source, le brouillage EM externe pour perturber les signaux radio et les enceintes Faraday pour empêcher les systèmes à espace d’air d’émaner des rayonnements EM à l’extérieur.

Les chercheurs ont testé RAMBO sur des processus sensibles exécutés à l’intérieur de machines virtuelles et ont constaté qu’il restait efficace.

Cependant, comme la mémoire de l’hôte est sujette à diverses interactions avec le système d’exploitation hôte et d’autres machines virtuelles, les attaques seront probablement interrompues rapidement.