Tener un sistema completamente aislado, sin conexión a ninguna red, es una estrategia clave para proteger datos sensibles. Sin embargo, incluso estos entornos que parecen invulnerables están siendo puestos a prueba por nuevas formas de ciberataques. El ataque rambo es un ejemplo de cómo los cibercriminales están evolucionando, logrando extraer información directamente desde la memoria RAM de computadoras "air-gapped", sin necesidad de una conexión a internet. Este método aprovecha las emisiones de la RAM para robar datos sensibles, y suena tan alarmante como intrigante. ¿Cómo es posible? Te lo explicamos.
El nuevo ataque de canal lateral conocido como "RAMBO" (Radiation of Air-gapped Memory Bus for Offense) es capaz de aprovechar las emisiones electromagnéticas de la RAM de un dispositivo para extraer datos de computadoras air-gapped, esas máquinas que se creían fuera del alcance de los hackers por estar completamente aisladas de redes externas.
Este tipo de sistemas, comúnmente utilizados en entornos con seguridad crítica, como gobiernos, sistemas militares y plantas nucleares, están diseñados precisamente para evitar conexiones a Internet y prevenir infecciones de malware o robo de información. A pesar de estar desconectados, siguen siendo vulnerables a amenazas internas, como trabajadores que introducen malware mediante dispositivos físicos (como unidades USB) o sofisticados ataques a la cadena de suministro realizados por actores estatales.
Este tipo de malware puede trabajar de forma silenciosa, manipulando los componentes de la RAM en computadoras air-gapped para transmitir datos sensibles a un receptor cercano.
El más reciente de estos ataques proviene de un equipo de investigadores israelíes, dirigido por Mordechai Guri, un experto en técnicas de filtración de datos encubiertas. Guri ya ha desarrollado métodos para extraer información utilizando luces LED de tarjetas de red, señales de radiofrecuencia de unidades USB, cables SATA e incluso fuentes de alimentación.
Te podrá interesar leer: Ransomware Akira Explota Vulnerabilidad en SonicWall CVE-2024-40766
El ataque rambo comienza cuando un atacante logra instalar malware en una computadora aislada, con el objetivo de recolectar datos confidenciales y prepararlos para su transmisión. El truco está en cómo se envían esos datos: el malware manipula los patrones de acceso a la memoria, realizando operaciones de lectura y escritura en el bus de memoria de forma que generan emisiones electromagnéticas controladas desde la RAM.
Estas emisiones son el resultado de cambios rápidos en las señales eléctricas dentro de la RAM, un proceso conocido como "OOK" (activación y desactivación de las teclas). Lo preocupante es que este tipo de actividad no suele ser monitoreada ni bloqueada por los sistemas de seguridad tradicionales, lo que permite que el ataque pase desapercibido.
Instrucciones para ejecutar la modulación OOK
Los datos se transmiten en forma de "1" y "0", codificados como señales de radio que se encienden y apagan, un método bastante básico pero efectivo. Para asegurarse de que los datos lleguen correctamente y sin errores, los investigadores usaron un tipo de codificación llamado Código Manchester, que ayuda a sincronizar la señal y reducir la posibilidad de errores en la recepción.
El atacante, por su parte, solo necesita un dispositivo relativamente barato, como una radio definida por software (SDR) y una antena, para captar estas emisiones electromagnéticas moduladas y volver a convertirlas en datos binarios.
El ataque rambo alcanza velocidades de transferencia de datos de hasta 1.000 bits por segundo, lo que se traduce en 128 bytes por segundo o 0,125 KB/s. Esto significa que, para exfiltrar 1 MB de datos, se necesitarían unas 2,2 horas, lo que hace que este ataque sea más útil para robar pequeños fragmentos de información, como texto, pulsaciones de teclas o archivos de tamaño reducido.
Durante las pruebas, los investigadores comprobaron que rambo puede registrar pulsaciones de teclas en tiempo real. Por ejemplo, robar una contraseña puede tomar entre 0,1 y 1,28 segundos, mientras que extraer una clave RSA de 4096 bits lleva de 4 a 42 segundos. Por otro lado, transferir una imagen pequeña puede tomar entre 25 y 250 segundos, dependiendo de la velocidad de transmisión.
El alcance también es un factor importante. Las transmisiones rápidas tienen un rango de hasta 3 metros (10 pies) con una tasa de error de entre 2% y 4%. Las transmisiones a velocidad media permiten aumentar el rango a 4,5 metros (15 pies) manteniendo la misma tasa de error. Finalmente, las transmisiones más lentas, con casi cero errores, pueden funcionar de manera fiable hasta una distancia de 7 metros (23 pies).
Los investigadores también probaron velocidades de hasta 10.000 bits por segundo, pero descubrieron que, a partir de los 5.000 bps, la calidad de la señal disminuye demasiado, lo que afecta la efectividad de la transmisión de datos.
Conoce más sobre: Nuevo Ataque de Eucleak Permite a los Hackers Clonar Claves de YubiKey
Se han propuesto varias medidas para mitigar el ataque rambo y otros basados en emisiones electromagnéticas, aunque cada una presenta sus propios desafíos. Algunas recomendaciones incluyen implementar zonas de alta seguridad para reforzar la defensa física, proteger la RAM con blindajes para evitar fugas de información, usar bloqueadores electromagnéticos para interferir con las señales de radio y recintos Faraday que impidan la emisión de radiación electromagnética desde los sistemas aislados.
Durante las pruebas, rambo demostró ser efectivo incluso en máquinas virtuales que ejecutaban procesos sensibles. Sin embargo, las interacciones entre la memoria del host, el sistema operativo y otras máquinas virtuales pueden hacer que este tipo de ataques se interrumpan con mayor facilidad.