Хакери досліджують нові способи впровадження і застосування шкідливого ПО на комп’ютерах жертв і недавно для цієї мети навчилися використовувати відеокарти. На одному з хакерських форумів, судячи з усього, російському, був проданий демонстратор технології (PoC), що дозволяє занести шкідливий код у відеопам’ять графічного прискорювача, а потім звідти його запускати. Антивіруси не зможуть виявити експлоїт, оскільки вони зазвичай сканують лише оперативну пам’ять.
Раніше відеокарти призначалися для виконання тільки одного завдання – обробки 3D-графіки. Попри те, що їх основне завдання залишилося незмінним, самі відеокарти еволюціонували у своєрідні закриті обчислювальні екосистеми. Сьогодні в них містяться тисячі блоків для прискорення графіки, кілька основних ядер, які керують цим процесом, а також, власна буферна пам’ять (VRAM), в якій зберігаються графічні текстури.
Як пише BleepingComputer, хакери розробили спосіб розташування і зберігання в пам’яті відеокарти шкідливого коду, в результаті чого його неможливо виявити антивірусом. Про те, як саме працює експлоїт, нічого невідомо. Хакер, який його написав, лише повідомив, що він дозволяє помістити шкідливу програму в відеопам’ять, а потім виконати її безпосередньо звідти. Він також додав, що експлоїт працює тільки з операційними системами Windows, що підтримують фреймворк OpenCL 2.0 і новіше. За його словами, він протестував працездатність шкідливого ПЗ з інтегрованою графікою Intel UHD 620 і UHD 630, а також дискретними відеокартами Radeon RX 5700, GeForce GTX 1650 і мобільного GeForce GTX 740M. Це ставить під удар величезну кількість систем. Дослідницька команда Vx-underground через свою сторінку Twitter повідомила, що найближчим часом продемонструє роботу зазначеної технології злому.
Recently an unknown individual sold a malware technique to a group of Threat Actors.
This malcode allowed binaries to be executed by the GPU, and in GPU memory address space, rather the CPUs.
We will demonstrate this technique soon.
— vx-underground (@vxunderground) August 29, 2021
Слід зазначити, що та ж команда кілька років тому публікувала відкритий вихідний код експлойтів Jellyfish, який також використовує OpenCL для підключення до системних функцій ПК і примусового виконання шкідливого коду з GPU. Автор нового експлойта своєю чергою спростував зв’язок з Jellyfish і заявив, що його метод злому відрізняється. Про те, хто придбав демонстратор, а також суму угоди, хакер не повідомив.
Читайте також:
- Хакер стверджує, що у нього є дані понад 100 млн клієнтів T-Mobile
- Хакери-ентузіасти встановили Android (MIUI 11) на iPhone