Hackeri skúmajú nové spôsoby zavádzania a používania škodlivého softvéru na počítačoch obetí a nedávno sa na tento účel naučili používať grafické karty. Na jednom z hackerských fór, zrejme ruskom, sa predával technologický demonštrátor (PoC), ktorý umožňuje vložiť škodlivý kód do video pamäte grafického akcelerátora a odtiaľ ho potom spustiť. Antivírusy nebudú schopné detekovať exploit, pretože zvyčajne skenujú iba RAM.
Predtým boli grafické karty určené na vykonávanie iba jednej úlohy - spracovania 3D grafiky. Napriek tomu, že ich hlavná úloha zostala nezmenená, samotné grafické karty sa vyvinuli do akéhosi uzavretého výpočtového ekosystému. Dnes obsahujú tisíce blokov pre grafickú akceleráciu, niekoľko hlavných jadier, ktoré tento proces riadia, a tiež vlastnú vyrovnávaciu pamäť (VRAM), v ktorej sú uložené grafické textúry.
Ako píše BleepingComputer, hackeri vyvinuli metódu lokalizácie a ukladania škodlivého kódu do pamäte grafickej karty, v dôsledku čoho ho nedokáže odhaliť antivírus. Nie je známe nič o tom, ako presne exploit funguje. Hacker, ktorý to napísal, len povedal, že umožňuje umiestniť škodlivý program do videopamäte a odtiaľ ho priamo spustiť. Zároveň dodal, že exploit funguje iba s operačnými systémami Windows, ktoré podporujú rámec OpenCL 2.0 a novší. Podľa jeho slov testoval výkon malvéru s integrovanou grafikou Intel UHD 620 a UHD 630, ako aj diskrétnymi grafickými kartami Radeon RX 5700, GeForce GTX 1650 a mobilnou GeForce GTX 740M. To vystavuje obrovské množstvo systémov útoku. Výskumný tím Vx-underground prostredníctvom svojej stránky Twitter oznámil, že v blízkej budúcnosti predvedie fungovanie špecifikovanej hackerskej technológie.
Nedávno neznámy jednotlivec predal malvérovú techniku skupine hrozieb.
Tento škodlivý kód umožnil spúšťanie binárnych súborov GPU a v adresnom priestore pamäte GPU skôr CPU.
Túto techniku si čoskoro predstavíme.
-vx-underground (@vxunderground) Augusta 29, 2021
Treba poznamenať, že ten istý tím pred niekoľkými rokmi zverejnil exploity s otvoreným zdrojom Jellyfish, ktorý tiež používa OpenCL na pripojenie k systémovým funkciám PC a vynúti spustenie škodlivého kódu z GPU. Autor nového exploitu zas poprel spojenie s Jellyfish a uviedol, že jeho metóda hackovania je iná. Hacker nepovedal, kto demonštrátor kúpil, ani výšku obchodu.
Prečítajte si tiež:
- Hacker tvrdí, že má údaje viac ako 100 miliónov zákazníkov T-Mobile
- Nainštalovaní nadšení hackeri Android (MIUI 11) na iPhone