Хакерите проучват нови начини за въвеждане и използване на зловреден софтуер на компютрите на жертвите и наскоро се научиха да използват видеокарти за тази цел. В един от хакерските форуми, очевидно руски, беше продаден технологичен демонстратор (PoC), който ви позволява да вмъкнете зловреден код във видеопаметта на графичния ускорител и след това да го стартирате оттам. Антивирусите няма да могат да открият експлойта, защото обикновено сканират само RAM.
Преди това видеокартите бяха предназначени да изпълняват само една задача - обработка на 3D графики. Въпреки факта, че основната им задача е останала непроменена, самите видеокарти са се превърнали в един вид затворена изчислителна екосистема. Днес те съдържат хиляди блокове за графично ускорение, няколко основни ядра, които управляват този процес, а също и собствена буферна памет (VRAM), в която се съхраняват графични текстури.
Както пише BleepingComputer, хакерите са разработили метод за локализиране и съхраняване на зловреден код в паметта на видеокартата, в резултат на което тя не може да бъде открита от антивирус. Нищо не се знае за това как точно работи експлойтът. Хакерът, който го е написал, каза само, че позволява злонамерена програма да бъде поставена във видеопаметта и след това да бъде изпълнена директно от там. Той също така добави, че експлойтът работи само с операционни системи Windows, които поддържат рамката OpenCL 2.0 и по-нова версия. Според него той е тествал производителността на зловреден софтуер с интегрирана графика Intel UHD 620 и UHD 630, както и дискретни видеокарти Radeon RX 5700, GeForce GTX 1650 и мобилна GeForce GTX 740M. Това поставя под атака огромен брой системи. Изследователският екип на Vx-underground чрез тяхната страница Twitter съобщи, че в близко бъдеще ще демонстрира работата на определената хакерска технология.
Наскоро неизвестно лице продаде техника за злонамерен софтуер на група участници в заплахи.
Този злонамерен код позволи на двоичните файлове да бъдат изпълнени от GPU и в адресното пространство на паметта на GPU, по-скоро от процесорите.
Скоро ще демонстрираме тази техника.
-vx-underground (@vxunderground) Август 29, 2021
Трябва да се отбележи, че същият екип публикува експлойти на Jellyfish с отворен код преди няколко години, които също използват OpenCL за свързване към системните функции на компютъра и принудително изпълнение на зловреден код от GPU. Авторът на новия експлойт от своя страна отрече връзката с Jellyfish и заяви, че методът му за хакване е различен. Хакерът не каза кой е купил демонстратора, както и сумата на сделката.
Прочетете също:
- Хакерът твърди, че разполага с данните на повече от 100 милиона клиенти на T-Mobile
- Инсталирани ентусиазирани хакери Android (MIUI 11) на iPhone