Hackere utforsker nye måter å introdusere og bruke skadelig programvare på ofrenes datamaskiner og har nylig lært å bruke skjermkort til dette formålet. På et av hackerforaene, tilsynelatende russisk, ble det solgt en teknologidemonstrator (PoC), som lar deg sette inn ondsinnet kode i videominnet til grafikkakseleratoren, og deretter kjøre den derfra. Antivirus vil ikke kunne oppdage utnyttelsen fordi de vanligvis bare skanner RAM.
Tidligere var skjermkort ment å utføre bare én oppgave - å behandle 3D-grafikk. Til tross for at hovedoppgaven deres har vært uendret, har skjermkort i seg selv utviklet seg til et slags lukket dataøkosystem. I dag inneholder de tusenvis av blokker for grafikkakselerasjon, flere hovedkjerner som styrer denne prosessen, og også deres eget bufferminne (VRAM), der grafiske teksturer er lagret.
Som BleepingComputer skriver, har hackere utviklet en metode for å finne og lagre ondsinnet kode i minnet på skjermkortet, som et resultat av at det ikke kan oppdages av et antivirus. Ingenting er kjent om nøyaktig hvordan utnyttelsen fungerer. Hackeren som skrev den sa bare at den tillater at et ondsinnet program kan plasseres i videominnet og deretter kjøres direkte derfra. Han la også til at utnyttelsen bare fungerer med Windows-operativsystemer som støtter OpenCL 2.0-rammeverket og senere. Ifølge ham testet han ytelsen til skadevare med integrert grafikk Intel UHD 620 og UHD 630, samt diskrete skjermkort Radeon RX 5700, GeForce GTX 1650 og mobile GeForce GTX 740M. Dette setter et stort antall systemer under angrep. Vx-underground forskerteamet via siden deres Twitter rapporterte at den i nær fremtid vil demonstrere driften av den angitte hackingteknologien.
Nylig solgte en ukjent person en skadevareteknikk til en gruppe trusselaktører.
Denne feilkoden tillot binærfiler å bli utført av GPU, og i GPU-minneadresseplass, snarere CPU-ene.
Vi vil snart demonstrere denne teknikken.
-vx-underground (@vxunderground) August 29, 2021
Det skal bemerkes at det samme teamet publiserte åpen kildekode Jellyfish exploits for flere år siden, som også bruker OpenCL for å koble til PC-systemfunksjoner og tvinge ondsinnet kodekjøring fra GPU. Forfatteren av den nye utnyttelsen benektet på sin side forbindelsen med Jellyfish og uttalte at hackingmetoden hans er annerledes. Hackeren sa ikke hvem som kjøpte demonstranten, så vel som beløpet for avtalen.
Les også:
- Hackeren hevder å ha dataene til mer enn 100 millioner T-Mobile-kunder
- Entusiastiske hackere installert Android (MIUI 11) på iPhone