Хакеры научились прятать вредоносное ПО в памяти видеокарт и запускать его оттуда
Хакеры исследуют новые способы внедрения вредоносного ПО на компьютеры жертв и недавно для этой цели научились использовать видеокарты. На одном из хакерских форумов, судя по всему, российском, был продан демонстратор технологии, позволяющей занести вредоносный код в видеопамять графического ускорителя, а затем оттуда его исполнять, пишет портал BleepingComputer. Антивирусы не смогут обнаружить эксплоит, поскольку они обычно сканируют лишь оперативную память.
Ранее видеокарты предназначались для выполнения только одной задачи - обработки 3D-графики. Несмотря на то, что их основная задача осталось неизменной, сами видеокарты эволюционировали в своеобразные закрытые вычислительные экосистемы. Сегодня в них содержатся тысячи блоков для ускорения графики, несколько основных ядер, управляющих этим процессом, а также, собственная буферная память (VRAM), в которой хранятся графические текстуры.
Как пишет BleepingComputer, хакеры разработали способ помещения и хранения в памяти видеокарты вредоносного кода, в результате чего его невозможно обнаружить антивирусом. О том, как именно работает эксплоит, ничего неизвестно. Хакер, его написавший, лишь сообщил, что он позволяет поместить малвар в видеопамять, а затем исполнить его непосредственно оттуда. Он также добавил, что эксплоит работает только с операционными системами Windows, поддерживающими фреймворк OpenCL 2.0 и новее. По его словам, он протестировал работоспособность вредоносного ПО с интегрированной графикой Intel UHD 620 и UHD 630, а также дискретными видеокартами Radeon RX 5700, GeForce GTX 1650 и мобильной GeForce GTX 740M. Это ставит под удар огромное число систем.
Исследовательская команда Vx-underground через свою страницу Twitter сообщила, что в ближайшее время продемонстрирует работу указанной технологии взлома.
Recently an unknown individual sold a malware technique to a group of Threat Actors.
This malcode allowed binaries to be executed by the GPU, and in GPU memory address space, rather the CPUs.
We will demonstrate this technique soon. - vx-underground (@vxunderground) August 29, 2021
Следует отметить, что та же команда несколько лет назад публиковала открытый исходный код эксплоита Jellyfish, также использующего OpenCL для подключения к системным функциям ПК и принудительного исполнения вредоносного кода из GPU. Автор нового эксплоита в свою очередь опроверг связь с Jellyfish и заявил, что его метод взлома отличается. О том, кто приобрел демонстратор нового эксплоита, а также сумму сделки, хакер не сообщил.