Οι χάκερ εξερευνούν νέους τρόπους για να εισάγουν και να χρησιμοποιούν κακόβουλο λογισμικό στους υπολογιστές των θυμάτων και πρόσφατα έμαθαν να χρησιμοποιούν κάρτες βίντεο για αυτόν τον σκοπό. Σε ένα από τα φόρουμ χάκερ, προφανώς ρωσικά, πωλήθηκε ένας τεχνολογικός επίδειξης (PoC), ο οποίος σας επιτρέπει να εισάγετε κακόβουλο κώδικα στη μνήμη βίντεο του επιταχυντή γραφικών και στη συνέχεια να τον εκτελέσετε από εκεί. Τα προγράμματα προστασίας από ιούς δεν θα μπορούν να ανιχνεύσουν το exploit επειδή συνήθως σαρώνουν μόνο τη μνήμη RAM.
Προηγουμένως, οι κάρτες βίντεο προορίζονταν να εκτελούν μόνο μία εργασία - την επεξεργασία τρισδιάστατων γραφικών. Παρά το γεγονός ότι το κύριο καθήκον τους παρέμεινε αμετάβλητο, οι ίδιες οι κάρτες βίντεο έχουν εξελιχθεί σε ένα είδος κλειστού οικοσυστήματος υπολογιστών. Σήμερα, περιέχουν χιλιάδες μπλοκ για επιτάχυνση γραφικών, αρκετούς κύριους πυρήνες που διαχειρίζονται αυτή τη διαδικασία, καθώς και τη δική τους μνήμη buffer (VRAM), στην οποία αποθηκεύονται υφές γραφικών.
Όπως γράφει το BleepingComputer, χάκερ έχουν αναπτύξει μια μέθοδο εντοπισμού και αποθήκευσης κακόβουλου κώδικα στη μνήμη της κάρτας βίντεο, με αποτέλεσμα να μην μπορεί να εντοπιστεί από ένα antivirus. Τίποτα δεν είναι γνωστό για το πώς ακριβώς λειτουργεί το exploit. Ο χάκερ που το έγραψε είπε μόνο ότι επιτρέπει σε ένα κακόβουλο πρόγραμμα να τοποθετηθεί στη μνήμη βίντεο και στη συνέχεια να εκτελεστεί απευθείας από εκεί. Πρόσθεσε επίσης ότι το exploit λειτουργεί μόνο με λειτουργικά συστήματα Windows που υποστηρίζουν το πλαίσιο OpenCL 2.0 και μεταγενέστερα. Σύμφωνα με τον ίδιο, δοκίμασε την απόδοση του κακόβουλου λογισμικού με ενσωματωμένα γραφικά Intel UHD 620 και UHD 630, καθώς και διακριτές κάρτες γραφικών Radeon RX 5700, GeForce GTX 1650 και κινητά GeForce GTX 740M. Αυτό θέτει έναν τεράστιο αριθμό συστημάτων υπό επίθεση. Η ερευνητική ομάδα Vx-underground μέσω της σελίδας τους Twitter ανέφερε ότι στο εγγύς μέλλον θα επιδείξει τη λειτουργία της καθορισμένης τεχνολογίας hacking.
Πρόσφατα ένα άγνωστο άτομο πούλησε μια τεχνική κακόβουλου λογισμικού σε μια ομάδα Threat Actors.
Αυτός ο κακός κώδικας επέτρεψε την εκτέλεση των δυαδικών αρχείων από τη GPU, και στο χώρο διευθύνσεων της μνήμης GPU, αντί των CPU.
Θα δείξουμε αυτή την τεχνική σύντομα.
-vx-underground (@vxunderground) Αύγουστος 29, 2021
Θα πρέπει να σημειωθεί ότι η ίδια ομάδα δημοσίευσε εκμεταλλεύσεις ανοιχτού κώδικα Jellyfish πριν από αρκετά χρόνια, το οποίο χρησιμοποιεί επίσης το OpenCL για να συνδεθεί με λειτουργίες συστήματος υπολογιστή και να εξαναγκάσει την εκτέλεση κακόβουλου κώδικα από την GPU. Ο συγγραφέας του νέου εκμεταλλεύματος, με τη σειρά του, αρνήθηκε τη σχέση με το Jellyfish και δήλωσε ότι η μέθοδος hacking του είναι διαφορετική. Ο χάκερ δεν είπε ποιος αγόρασε τον διαδηλωτή, καθώς και το ποσό της συμφωνίας.
Διαβάστε επίσης:
- Ο χάκερ ισχυρίζεται ότι έχει τα δεδομένα περισσότερων από 100 εκατομμυρίων πελατών της T-Mobile
- Εγκαταστάθηκαν ενθουσιώδεις χάκερ Android (MIUI 11) στο iPhone