Hakeri pēta jaunus veidus, kā upuru datoros ieviest un izmantot ļaunprātīgu programmatūru, un nesen ir iemācījušies šim nolūkam izmantot videokartes. Vienā no hakeru forumiem, šķietami krievu valodā, tika pārdots tehnoloģiju demonstrators (PoC), kas ļauj ievietot ļaunprātīgu kodu grafikas paātrinātāja video atmiņā un pēc tam palaist to no turienes. Pretvīrusi nespēs atklāt ļaunprātīgu izmantošanu, jo tie parasti skenē tikai RAM.
Iepriekš videokartes bija paredzētas tikai viena uzdevuma veikšanai – 3D grafikas apstrādei. Neskatoties uz to, ka to galvenais uzdevums ir palicis nemainīgs, pašas videokartes ir kļuvušas par sava veida slēgtu skaitļošanas ekosistēmu. Mūsdienās tie satur tūkstošiem bloku grafikas paātrināšanai, vairākus galvenos kodolus, kas pārvalda šo procesu, kā arī savu buferatmiņu (VRAM), kurā tiek glabātas grafiskās tekstūras.
Kā raksta BleepingComputer, hakeri ir izstrādājuši metodi, kā videokartes atmiņā atrast un saglabāt kaitīgo kodu, kā rezultātā to nevar atklāt antivīruss. Par to, kā tieši ekspluatācija darbojas, nekas nav zināms. Hakeris, kurš to uzrakstīja, tikai teica, ka tas ļauj ļaunprātīgu programmu ievietot video atmiņā un pēc tam izpildīt tieši no turienes. Viņš arī piebilda, ka izmantošana darbojas tikai ar Windows operētājsistēmām, kas atbalsta OpenCL 2.0 ietvaru un jaunāku versiju. Pēc viņa teiktā, viņš pārbaudījis ļaunprogrammatūras veiktspēju ar integrētajām grafikām Intel UHD 620 un UHD 630, kā arī diskrētajām videokartēm Radeon RX 5700, GeForce GTX 1650 un mobilo GeForce GTX 740M. Tas pakļauj uzbrukumam ļoti daudzām sistēmām. Vx-underground pētniecības komanda, izmantojot savu lapu Twitter ziņoja, ka tuvākajā laikā demonstrēs norādītās hakeru tehnoloģijas darbību.
Nesen kāda nezināma persona pārdeva ļaunprātīgas programmatūras paņēmienu draudu aktieru grupai.
Šis nepareizais kods ļāva bināros failus izpildīt GPU un GPU atmiņas adrešu telpā, nevis centrālajos procesoros.
Šo tehniku mēs drīzumā demonstrēsim.
-vx-underground (@vxunderground) Augusts 29, 2021
Jāpiebilst, ka tā pati komanda pirms vairākiem gadiem publicēja atvērtā pirmkoda Jellyfish exploitus, kas arī izmanto OpenCL, lai izveidotu savienojumu ar datora sistēmas funkcijām un piespiestu izpildīt ļaunprātīgu kodu no GPU. Savukārt jaunā varoņdarba autors noliedza saistību ar Medūzu un norādīja, ka viņa uzlaušanas metode ir atšķirīga. Hakeris neatklāja, kurš nopirka demonstrantu, kā arī darījuma summu.
Lasi arī:
- Hakeris apgalvo, ka viņam ir dati par vairāk nekā 100 miljoniem T-Mobile klientu
- Uzstādīti entuziasma pilni hakeri Android (MIUI 11) iPhone tālrunī