Serangan saluran samping baru telah ditemukan memanfaatkan sinyal radio yang dipancarkan oleh memori akses acak (RAM) suatu perangkat sebagai mekanisme penyusupan data, yang menimbulkan ancaman terhadap jaringan bercelah udara.
Teknik ini diberi nama kode RAMBO oleh Dr. Mordechai Guri, kepala Laboratorium Penelitian Siber Ofensif di Departemen Rekayasa Perangkat Lunak dan Sistem Informasi di Universitas Ben Gurion di Negev di Israel.
“Dengan menggunakan sinyal radio yang dihasilkan perangkat lunak, malware dapat mengodekan informasi sensitif seperti berkas, gambar, pencatatan tombol, informasi biometrik, dan kunci enkripsi,” kata Dr. Guri dalam makalah penelitian yang baru diterbitkan.
“Dengan perangkat keras radio yang ditentukan perangkat lunak (SDR), dan antena sederhana yang tersedia di pasaran, penyerang dapat menyadap sinyal radio mentah yang dikirimkan dari jarak jauh. Sinyal tersebut kemudian dapat didekodekan dan diterjemahkan kembali menjadi informasi biner.”
Selama bertahun-tahun, Dr. Guri telah meramu berbagai mekanisme untuk mengekstrak data rahasia dari jaringan offline dengan memanfaatkan kabel Serial ATA (SATAn), giroskop MEMS (GAIROSCOPE), LED pada kartu antarmuka jaringan (ETHERLED), dan konsumsi daya dinamis (COVID-bit).
Beberapa pendekatan tidak konvensional lainnya yang dirancang oleh peneliti tersebut melibatkan kebocoran data dari jaringan bercelah udara melalui sinyal akustik terselubung yang dihasilkan oleh kipas unit pemrosesan grafis (GPU) (GPU-FAN), gelombang (ultra)sonik yang dihasilkan oleh buzzer motherboard internal (EL-GRILLO), dan bahkan panel tampilan printer dan LED status (PrinterLeak).
Tahun lalu, Guri juga mendemonstrasikan AirKeyLogger, serangan pencatatan tombol frekuensi radio tanpa perangkat keras yang memanfaatkan emisi radio dari catu daya komputer untuk mencuri data penekanan tombol secara real-time kepada penyerang jarak jauh.
“Untuk membocorkan data rahasia, frekuensi kerja prosesor dimanipulasi untuk menghasilkan pola emisi elektromagnetik dari unit daya yang dimodulasi oleh penekanan tombol,” kata Guri dalam penelitian tersebut. “Informasi penekanan tombol dapat diterima pada jarak beberapa meter melalui penerima RF atau telepon pintar dengan antena sederhana.”
Seperti halnya serangan jenis ini, jaringan yang memiliki celah udara harus terlebih dahulu disusupi melalui cara lain – seperti orang dalam yang tidak bertanggung jawab, drive USB yang terinfeksi, atau serangan rantai pasokan – sehingga memungkinkan malware untuk memicu saluran eksfiltrasi data rahasia.
RAMBO tidak terkecuali dalam hal malware yang digunakan untuk memanipulasi RAM sehingga dapat menghasilkan sinyal radio pada frekuensi jam, yang kemudian dikodekan menggunakan pengkodean Manchester dan dikirimkan sehingga dapat diterima dari jarak jauh.
Data yang dikodekan dapat mencakup penekanan tombol, dokumen, dan informasi biometrik. Penyerang di sisi lain kemudian dapat memanfaatkan SDR untuk menerima sinyal elektromagnetik, mendemodulasi dan mendekode data, dan mengambil informasi yang diekstraksi.
“Malware tersebut memanfaatkan emisi elektromagnetik dari RAM untuk memodulasi informasi dan mengirimkannya ke luar,” kata Dr. Guri. “Penyerang jarak jauh dengan penerima radio dan antena dapat menerima informasi, mendemodulasinya, dan mendekodekannya ke dalam representasi biner atau tekstual aslinya.”
Teknik tersebut dapat digunakan untuk membocorkan data dari komputer air-gapped yang menjalankan CPU Intel i7 3.6GHz dan RAM 16 GB pada 1.000 bit per detik, menurut penelitian tersebut, dengan penekanan tombol yang dieksfiltrasi secara real-time dengan 16 bit per tombol.
“Kunci enkripsi RSA 4096-bit dapat diekstraksi dalam waktu 41,96 detik pada kecepatan rendah dan 4,096 bit pada kecepatan tinggi,” kata Dr. Guri. “Informasi biometrik, file kecil (.jpg), dan dokumen kecil (.txt dan .docx) memerlukan waktu 400 detik pada kecepatan rendah hingga beberapa detik pada kecepatan tinggi.”
“Ini menunjukkan bahwa saluran rahasia RAMBO dapat digunakan untuk membocorkan informasi yang relatif singkat dalam waktu singkat.”
Tindakan pencegahan untuk memblokir serangan tersebut meliputi penerapan pembatasan zona “merah-hitam” untuk transfer informasi, penggunaan sistem deteksi intrusi (IDS), pemantauan akses memori tingkat hypervisor, penggunaan pengacau radio untuk memblokir komunikasi nirkabel, dan penggunaan sangkar Faraday.