استفاده از یک حمله جدید جهت سرقت اطلاعات شبکه‌های ایزوله

به گزارش ایسنا، حمله سایبری نوعی اقدام نفوذی است که توسط هکرها به واسطه یک یا چند رایانه با هدف دسترسی به اطلاعات مهم افراد یا سازمان های مهم انجام می شود. بنابراین حمله سایبری به عنوان نقطه شروع برای اقدامات تخریبی از سوی مجرمان سایبری است که امری مهم در دنیای دیجیتال محسوب می شود.   

بنابراین با توجه به اینکه فناوری در حال تغییر ساختارهای اقتصادی و اجتماعی هستند، همزمان حملات سایبری به صورت فزاینده ای پیچیده و پر تکرار شده اند و به اقتصاد جهانی نیز ضربات جدی وارد می کنند.  

به طور مثال کارشناسان  امنیت سایبری یک حمله جانبی نوین را شناسایی کرده اند که از انتشار امواج رادیویی توسط حافظه رم (RAM) به‌عنوان ابزاری برای استخراج داده‌ها بهره می‌برد و تهدیدی جدی برای شبکه‌های ایزوله از اینترنت (air-gapped networks) به شمار می‌رود.

شبکه ایزوله به نوعی از شبکه‌ها گفته می‌شود که به‌طور کامل از سایر شبکه‌ها، به‌ویژه اینترنت، جدا شده‌ باشد. این نوع شبکه‌ها هیچ‌گونه ارتباطی با شبکه‌های خارجی ندارند و اغلب برای محافظت از اطلاعات حساس، مانند داده‌های مالی، نظامی یا امنیتی استفاده می‌شوند. این جداسازی فیزیکی و عدم دسترسی به اینترنت باعث می‌شود که شبکه‌ها به‌طور کلی از حملات سایبری و دسترسی‌های غیرمجاز مصون بمانند.

این تکنیک حمله‌ی جدید که با نام RAMBO (مخفف Radiation of Air-gapped Memory Bus for Offense) معرفی شده، با استفاده از سیگنال‌های رادیویی تولید شده از طریق نرم‌افزار، می‌تواند داده‌های حساسی همچون فایل‌ها، تصاویر، اطلاعات بیومتریک و کلیدهای رمزنگاری را کدگذاری و ارسال کند.

این حمله از Software Defined Radio و یک آنتن معمولی استفاده می‌کند تا سیگنال‌های رادیویی خام را از فاصله‌ای معین دریافت کرده و سپس آن‌ها را رمزگشایی کرده و به اطلاعات باینری تبدیل کند. Software Defined Radio (رادیو تعریف شده توسط نرم‌افزار یا SDR) یک فناوری رادیویی است که در آن بخش عمده‌ای از پردازش سیگنال‌ها که معمولاً توسط سخت‌افزار انجام می‌شد، از طریق نرم‌افزار انجام می‌شود.

در واقع SDR ترکیبی از سخت‌افزار و نرم‌افزار است. بخش سخت‌افزاری شامل گیرنده و فرستنده رادیویی و آنتن است که سیگنال‌های رادیویی را دریافت یا ارسال می‌کنند، اما پردازش این سیگنال‌ها و تفسیر داده‌ها از طریق نرم‌افزار انجام می‌شود. این روش انعطاف‌پذیری زیادی دارد و به کاربران اجازه‌ی تحلیل و کنترل امواج رادیویی را با استفاده از برنامه‌های مختلف می‌دهد.

مانند بسیاری از حملات مشابه، پیش‌نیاز حمله RAMBO نیز نفوذ اولیه به شبکه ایزوله است که می‌تواند از طریق روش‌هایی همچون استفاده از افراد نفوذی، حافظه‌های USB آلوده یا حملات به زنجیره تأمین صورت گیرد. این نفوذ اولیه امکان فعال‌سازی بدافزار و ایجاد کانال مخفی برای استخراج داده‌ها را فراهم می‌کند.

درباره جزئیات بیشتر این نوع حمله گفته شده که در حمله RAMBO، بدافزار با دستکاری حافظه RAM، سیگنال‌های رادیویی در فرکانس‌های زمانی تولید می‌کند. این سیگنال‌ها با استفاده از روش Manchester کدگذاری شده و از فاصله‌ای قابل توجه دریافت می‌شوند. تولید سیگنال‌های رادیویی در فرکانس‌های زمانی به این معناست که دستگاه (در اینجا حافظه RAM) سیگنال‌های الکترومغناطیسی با الگوهای مشخص و در بازه‌های زمانی خاص تولید می‌کند.

به عبارت دیگر، با تغییرات در سرعت کارکرد پردازنده و حافظه رم، امواج الکترومغناطیسی تولید می‌شوند که می‌توانند به شکل یک سیگنال رادیویی برای ارسال اطلاعات به‌کار روند. این سیگنال‌ها حاوی داده‌هایی هستند که در حافظه دستگاه وجود دارند و می‌توان با تکنیک‌های کدگذاری آن‌ها را دریافت و تفسیر کرد.

اطلاعات کدگذاری‌شده می‌تواند شامل ضربات کلید، اسناد و داده‌های بیومتریک باشد. مهاجم از طریق SDR این سیگنال‌ها را دریافت کرده، آن‌ها را رمزگشایی و داده‌های استخراج‌شده را بازیابی می‌کند. Rambo امکان استخراج داده‌ها از کامپیوترهای ایزوله مجهز به پردازنده‌های Intel i۷ با سرعت ۳.۶ گیگاهرتز و ۱۶ گیگابایت رم را با سرعت ۱۰۰۰ بیت بر ثانیه فراهم می‌کند. ضربات کلید نیز به‌صورت آنی با نرخ ۱۶ بیت برای هر کلید قابل استخراج هستند.

در کمترین سرعت، اطلاعات با سرعت ۱۰۰۰ بیت بر ثانیه استخراج می‌شوند. برای مثال، یک کلید رمزنگاری RSA به طول ۴۰۹۶ بیت می‌تواند در مدت ۴۱.۹۶ ثانیه استخراج شود و با افزایش سرعت استخراج، کلید رمزنگاری می‌تواند در مدت زمان ۴.۰۹۶ ثانیه استخراج شود. همچنین، اطلاعات بیومتریک، تصاویر کوچک (مانند فایل‌های. jpg) و اسناد متنی کوچک (.txt و. docx) می‌توانند در زمان‌هایی از ۴۰۰ ثانیه تا چند ثانیه (بسته به حجم و سرعت استخراج) منتقل شوند. این یافته‌ها نشان می‌دهند که کانال مخفی RAMBO می‌تواند برای نشت اطلاعات کوتاه طی دوره‌های زمانی محدود مورد استفاده قرار گیرد.

محققان در سال‌های اخیر چندین سازوکار گوناگون برای استخراج اطلاعات محرمانه از شبکه‌های ایزوله توسعه داده‌اند. از جمله این روش‌ها می‌توان به بهره‌برداری از کابل‌های Serial ATA، ژیروسکوپ‌های MEMS، LED های کارت شبکه، و مصرف برق پویا اشاره کرد. دیگر رویکردهای غیرمتعارفی که معرفی شده‌اند، شامل استخراج داده‌ها از طریق امواج صوتی تولید شده توسط فن‌های کارت گرافیک، انتشار امواج فراصوت و صوت توسط بوق‌های داخلی مادربورد و همچنین نمایشگرها و LED های پرینتر می‌شوند.

براساس اعلام مرکز ماهر، سال گذشته نیز حمله‌ای به نام AirKeyLogger  معرفی شد که بدون نیاز به سخت‌افزار خاصی و با استفاده از امواج رادیویی تولید شده از منبع تغذیه رایانه، امکان ضبط لحظه‌ای ضربات کلید را به مهاجمان می‌داد. در آن حمله، برای نشت داده‌های محرمانه، فرکانس‌های کاری پردازنده دستکاری می‌شدند تا الگوی انتشار امواج الکترومغناطیسی از منبع تغذیه به‌واسطه ضربات کلید ماژوله شده و از فاصله‌ای معین قابل دریافت باشد. 

در این راستا با توجه به مطالب گفته شده کارشناسان توصیه می‌کنند  که می‌توان به استفاده از محدودیت‌های مناطق قرمز-سیاه برای انتقال اطلاعات (محدودیت‌هایی مربوط به تفکیک مناطق فیزیکی یا شبکه‌ای که در آن‌ها اطلاعات حساس (مناطق قرمز) از اطلاعات غیرحساس (مناطق سیاه) جدا نگه داشته می‌شوند)، بهره‌گیری از سیستم‌های تشخیص نفوذ، نظارت بر دسترسی‌های حافظه در سطح هایپروایزر، استفاده از مسدودکننده‌های رادیویی، و قرار دادن تجهیزات درون قفس فارادی (یک ساختار فلزی برای جلوگیری از ورود یا خروج امواج الکترومغناطیسی) اشاره کرد.  

داس نوع دیگری از  حملات است که اخیرا محققان نوع جدیدی از حمله انکار سرویس) را کشف کردند که به عنوان حمله D(HE)at شناخته می‌شود و با کمترین تلاش مهاجم برای غلبه بر سرورها عمل می‌کند.  

این حمله از نیازهای محاسباتی پروتکل توافق کلید دیفی هلمن، به ویژه نوع زودگذر آن (DHE) با کمترین تلاش مهاجم برای غلبه بر سرورها بهره‌برداری می‌کند. پروتکل توافق کلید دیفی هلمن در یک کانال ناامن میان دو یا بیش‌تر موجودیت به منظور توافق طرفین برای رسیدن به یک کلید مشترک صورت می‌گیرد. موجودیت‌ها بعد از ساخت این کلید مشترک، از آن برای رمزگذاری و رمزگشایی پیام‌های مبادله شده خود استفاده می‌کنند.

 انتهای پیام