A hackerek új módokat keresnek rosszindulatú szoftverek bevezetésére és használatára az áldozatok számítógépén, és nemrég megtanulták használni a videokártyákat erre a célra. Az egyik hackerfórumon, látszólag orosz, eladtak egy technológiai bemutatót (PoC), amivel a grafikus gyorsító videomemóriájába lehet rosszindulatú kódot beszúrni, majd onnan futtatni. A víruskeresők nem fogják tudni észlelni a kizsákmányolást, mert általában csak a RAM-ot vizsgálják.
Korábban a videokártyákat egyetlen feladat elvégzésére szánták - a 3D grafika feldolgozását. Annak ellenére, hogy fő feladatuk változatlan maradt, maguk a videokártyák egyfajta zárt számítástechnikai ökoszisztémává fejlődtek. Ma több ezer blokkot tartalmaznak a grafikus gyorsításhoz, több fő magot, amelyek ezt a folyamatot kezelik, és saját puffer memóriát (VRAM) is tartalmaznak, amelyben a grafikus textúrák tárolódnak.
Mint a BleepingComputer írja, a hackerek kifejlesztettek egy módszert a rosszindulatú kódok felkutatására és a videokártya memóriájában való tárolására, aminek következtében azt egy vírusirtó nem tudja észlelni. Semmi sem ismert arról, hogy pontosan hogyan működik az exploit. A hacker, aki ezt írta, csak annyit mondott, hogy lehetővé teszi egy rosszindulatú program videomemóriába helyezését, majd onnan közvetlen végrehajtását. Azt is hozzátette, hogy az exploit csak az OpenCL 2.0 és újabb keretrendszert támogató Windows operációs rendszerekkel működik. Elmondása szerint a kártevő teljesítményét Intel UHD 620 és UHD 630 integrált grafikával, valamint Radeon RX 5700, GeForce GTX 1650 és mobil GeForce GTX 740M különálló videokártyákkal tesztelte. Ez rengeteg rendszert tesz támadások alá. A Vx-underground kutatócsoport oldalukon keresztül Twitter beszámolt arról, hogy a közeljövőben bemutatja a megadott hackelési technológia működését.
A közelmúltban egy ismeretlen személy eladott egy rosszindulatú technikát fenyegető szereplők egy csoportjának.
Ez a rossz kód lehetővé tette a bináris fájlok végrehajtását a GPU, és a GPU memória címterében, nem pedig a CPU-k.
Hamarosan bemutatjuk ezt a technikát.
-vx-underground (@vxunderground) 29. augusztus 2021.
Meg kell jegyezni, hogy ugyanaz a csapat több évvel ezelőtt közzétette a nyílt forráskódú Jellyfish exploitjait, amelyek szintén OpenCL-t használnak a PC-rendszer funkcióihoz való kapcsolódásra és a rosszindulatú kódok GPU-ból történő végrehajtására. Az új exploit szerzője viszont tagadta a Jellyfish-sel való kapcsolatot, és kijelentette, hogy a hackelési módszere más. A hacker nem árulta el, hogy ki vásárolta meg a demonstrátort, és az üzlet összegét sem.
Olvassa el még:
- A hacker azt állítja, hogy több mint 100 millió T-Mobile-ügyfél adataival rendelkezik
- Lelkes hackerek telepítve Android (MIUI 11) iPhone-on