Hekerji raziskujejo nove načine za uvedbo in uporabo zlonamerne programske opreme v računalnikih žrtev in so se pred kratkim naučili uporabljati video kartice v ta namen. Na enem od hekerskih forumov, očitno ruskih, je bil prodan tehnološki demonstrator (PoC), ki vam omogoča, da zlonamerno kodo vstavite v video pomnilnik grafičnega pospeševalnika in jo nato zaženete od tam. Protivirusni programi ne bodo mogli odkriti izkoriščanja, ker običajno pregledujejo samo RAM.
Prej so bile grafične kartice namenjene samo eni nalogi - obdelavi 3D grafike. Kljub temu, da je njihova glavna naloga ostala nespremenjena, so se grafične kartice same razvile v nekakšen zaprt računalniški ekosistem. Danes vsebujejo na tisoče blokov za grafično pospeševanje, več glavnih jeder, ki upravljajo s tem procesom, in tudi lasten medpomnilnik (VRAM), v katerem so shranjene grafične teksture.
Kot piše BleepingComputer, so hekerji razvili način lociranja in shranjevanja zlonamerne kode v pomnilnik video kartice, zaradi česar je protivirusni programi ne morejo zaznati. Nič ni natančno znano o tem, kako izkoriščanje deluje. Heker, ki ga je napisal, je rekel le, da omogoča, da se zlonamerni program postavi v video pomnilnik in se nato izvede neposredno od tam. Dodal je tudi, da izkoriščanje deluje le z operacijskimi sistemi Windows, ki podpirajo okvir OpenCL 2.0 in novejše. Po njegovih besedah je preizkusil delovanje zlonamerne programske opreme z integrirano grafiko Intel UHD 620 in UHD 630, pa tudi z ločenimi video karticami Radeon RX 5700, GeForce GTX 1650 in mobilno GeForce GTX 740M. To postavlja na udar ogromno število sistemov. Raziskovalna ekipa Vx-underground prek svoje strani Twitter poročal, da bo v bližnji prihodnosti demonstriral delovanje določene hekerske tehnologije.
Pred kratkim je neznani posameznik prodal tehniko zlonamerne programske opreme skupini akterjev groženj.
Ta zlonamerna koda je dovoljevala izvajanje binarnih datotek s strani GPE in v naslovnem prostoru pomnilnika GPU, namesto CPE.
Kmalu bomo demonstrirali to tehniko.
-vx-underground (@vxunderground) Avgust 29, 2021
Treba je opozoriti, da je ista ekipa pred nekaj leti objavila odprtokodne izkoriščanja Jellyfish, ki prav tako uporablja OpenCL za povezavo s sistemskimi funkcijami osebnega računalnika in prisili izvajanje zlonamerne kode iz GPE. Avtor novega podviga je v zameno zanikal povezavo z Jellyfishom in izjavil, da je njegova metoda vdora drugačna. Heker ni povedal, kdo je kupil demonstratorja, kot tudi zneska posla.
Preberite tudi:
- Heker trdi, da ima podatke več kot 100 milijonov strank T-Mobile
- Inštalirani navdušeni hekerji Android (MIUI 11) na iPhone