Hackeři zkoumají nové způsoby, jak zavést a používat škodlivý software na počítačích obětí, a nedávno se k tomuto účelu naučili používat grafické karty. Na jednom z hackerských fór, zřejmě ruském, byl prodán technologický demonstrátor (PoC), který umožňuje vložit škodlivý kód do video paměti grafického akcelerátoru a odtud jej pak spustit. Antiviry nebudou schopny detekovat exploit, protože obvykle skenují pouze RAM.
Dříve byly grafické karty určeny k provádění pouze jednoho úkolu - zpracování 3D grafiky. Navzdory skutečnosti, že jejich hlavní úkol zůstal nezměněn, samotné grafické karty se vyvinuly v jakýsi uzavřený počítačový ekosystém. Dnes obsahují tisíce bloků pro akceleraci grafiky, několik hlavních jader, která tento proces řídí, a také vlastní vyrovnávací paměť (VRAM), ve které se ukládají grafické textury.
Jak píše BleepingComputer, hackeři vyvinuli metodu lokalizace a ukládání škodlivého kódu do paměti grafické karty, v důsledku čehož jej nelze detekovat antivirem. Není známo nic o tom, jak přesně exploit funguje. Hacker, který to napsal, pouze řekl, že umožňuje umístit škodlivý program do videopaměti a odtud přímo spustit. Dodal také, že exploit funguje pouze s operačními systémy Windows, které podporují rámec OpenCL 2.0 a novější. Podle něj testoval výkon malwaru s integrovanou grafikou Intel UHD 620 a UHD 630 a také diskrétními grafickými kartami Radeon RX 5700, GeForce GTX 1650 a mobilní GeForce GTX 740M. To vystavuje obrovské množství systémů útoku. Výzkumný tým Vx-underground prostřednictvím své stránky Twitter oznámil, že v blízké budoucnosti předvede fungování specifikované hackerské technologie.
Nedávno neznámý jedinec prodal malwarovou techniku skupině Threat Actors.
Tento škodlivý kód umožnil spouštění binárních souborů GPU a v adresním prostoru paměti GPU spíše CPU.
Tuto techniku brzy předvedeme.
-vx-underground (@vxunderground) Srpna 29, 2021
Je třeba poznamenat, že stejný tým před několika lety publikoval open source exploity Medúzy, který také používá OpenCL k připojení k funkcím PC systému a vynucuje spuštění škodlivého kódu z GPU. Autor nového exploitu zase spojení s Jellyfish popřel a uvedl, že jeho metoda hackování je jiná. Hacker neuvedl, kdo demonstrátor koupil, ani výši obchodu.
Přečtěte si také:
- Hacker tvrdí, že má data více než 100 milionů zákazníků T-Mobile
- Nainstalovaní nadšení hackeři Android (MIUI 11) na iPhone