Hakkerit tutkivat uusia tapoja tuoda ja käyttää haittaohjelmia uhrien tietokoneissa ja ovat äskettäin oppineet käyttämään näytönohjainkortteja tähän tarkoitukseen. Yhdellä hakkerifoorumilla, ilmeisesti venäläisellä, myytiin teknologian esittely (PoC), jonka avulla voit lisätä haitallista koodia näytönohjaimen videomuistiin ja suorittaa sen sitten sieltä. Virustentorjuntaohjelmat eivät pysty havaitsemaan hyväksikäyttöä, koska ne yleensä skannaavat vain RAM-muistia.
Aikaisemmin näytönohjainten oli tarkoitus suorittaa vain yksi tehtävä - 3D-grafiikan käsittely. Huolimatta siitä, että niiden päätehtävä on pysynyt ennallaan, näytönohjaimet ovat itse kehittyneet eräänlaiseksi suljetuksi tietokoneekosysteemiksi. Nykyään ne sisältävät tuhansia lohkoja grafiikan kiihdytystä varten, useita pääytimiä, jotka hallitsevat tätä prosessia, ja myös oman puskurimuistin (VRAM), johon graafiset tekstuurit on tallennettu.
Kuten BleepingComputer kirjoittaa, hakkerit ovat kehittäneet menetelmän haitallisen koodin paikallistamiseksi ja tallentamiseksi näytönohjaimen muistiin, minkä seurauksena virustorjunta ei pysty havaitsemaan sitä. Mitään ei tiedetä tarkalleen kuinka hyväksikäyttö toimii. Sen kirjoittanut hakkeri sanoi vain, että se sallii haittaohjelman sijoittamisen videomuistiin ja suorittamisen sitten suoraan sieltä. Hän lisäsi myös, että hyväksikäyttö toimii vain Windows-käyttöjärjestelmissä, jotka tukevat OpenCL 2.0 -kehystä ja uudempia. Hänen mukaansa hän testasi haittaohjelman suorituskykyä integroiduilla näytönohjaimilla Intel UHD 620 ja UHD 630 sekä erillisillä näytönohjaimilla Radeon RX 5700, GeForce GTX 1650 ja mobiili GeForce GTX 740M. Tämä asettaa suuren määrän järjestelmiä hyökkäyksen kohteeksi. Vx-underground-tutkimusryhmä sivunsa kautta Twitter kertoi, että lähitulevaisuudessa se osoittaa tietyn hakkerointitekniikan toiminnan.
Äskettäin tuntematon henkilö myi haittaohjelmatekniikan ryhmälle uhkanäyttelijöitä.
Tämä haittakoodi salli binäärien suorittamisen GPU:ssa ja GPU-muistin osoitetilassa prosessorien sijaan.
Esittelemme tämän tekniikan pian.
-vx-underground (@vxunderground) Elokuu 29, 2021
On syytä huomata, että sama tiimi julkaisi useita vuosia sitten avoimen lähdekoodin Jellyfish-hyödynnät, jotka myös käyttävät OpenCL:ää yhteyden muodostamiseen PC-järjestelmän toimintoihin ja haitallisen koodin suorittamiseen GPU:lta. Uuden hyväksikäytön kirjoittaja puolestaan kiisti yhteyden Jellyfishin ja totesi, että hänen hakkerointimenetelmänsä on erilainen. Hakkeri ei kertonut, kuka osti mielenosoittajan, eikä kaupan määrää.
Lue myös:
- Hakkeri väittää, että hänellä on yli 100 miljoonan T-Mobilen asiakkaan tiedot
- Innostuneet hakkerit asennettu Android (MIUI 11) iPhonessa