Киберпреступник продает инструмент для сокрытия вредоносных программ в графических процессорах AMD и NVIDIA

21
ФБР: в этом году из-за мошенничества в Интернете было потеряно 113 миллионов долларов

Киберпреступники делают все возможное, чтобы атаковать вредоносное ПО, которое может выполнять код графического процессора (ГП) скомпрометированной системы.

Хотя этот метод не нов и ранее публиковался демонстрационный код, проекты до сих пор исходили из академического мира или были неполными и необработанными.

Ранее в этом месяце доказательство концепции (PoC) было продано на хакерском форуме, что потенциально знаменует переход киберпреступников на новый уровень сложности для своих атак.

Код протестирован на графических процессорах Intel, AMD и Nvidia

В коротком сообщении на хакерском форуме кто-то предложил продать доказательство концепции (PoC) для метода, который, по их словам, защищает вредоносный код от решений безопасности, сканирующих системную оперативную память.

Продавец предоставил только обзор своего метода, заявив, что он использует буфер памяти графического процессора для хранения вредоносного кода и его выполнения оттуда.

По словам рекламодателя, проект работает только в системах Windows, которые поддерживают версии 2.0 и выше фреймворка OpenCL для выполнения кода на различных процессорах, включая графические процессоры.

В сообщении также упоминалось, что автор тестировал код на видеокартах Intel (UHD 620/630), Radeon (RX 5700) и GeForce (GTX 740M (?), GTX 1650).

Объявление появилось 8 августа. Примерно через две недели, 25 августа, продавец ответил, что они продали PoC, не раскрывая условий сделки.

Другой участник хакерского форума указал, что вредоносное ПО на базе GPU уже создавалось, указав на JellyFish – шестилетний PoC для руткита GPU на базе Linux.

В воскресном твите исследователи из репозитория угроз VX-Underground заявили, что вредоносный код позволяет графическому процессору выполнять двоичное исполнение в своей памяти. Также они добавили, что продемонстрируют технику в ближайшее время.

Академическое исследование

Те же исследователи, которые создали руткит JellyFish, также опубликовали PoC для кейлоггера на базе графического процессора и трояна удаленного доступа на основе графического процессора для Windows. Все три проекта были опубликованы в мае 2015 года и находятся в открытом доступе.

Продавец отверг связь с вредоносной программой JellyFish, заявив, что их метод отличается и не полагается на отображение кода обратно в пользовательское пространство.

Подробностей о сделке, о том, кто ее купил и сколько они заплатили, нет. Только сообщение продавца о том, что они продали зловред неизвестной стороне.

Хотя ссылка на проект JellyFish предполагает, что вредоносное ПО на базе графического процессора является относительно новой идеей, фундамент для этого метода атаки был заложен около восьми лет назад.

В 2013 году исследователи из Института компьютерных наук – Фонда исследований и технологий (FORTH) в Греции и Колумбийского университета в Нью-Йорке показали, что графические процессоры могут выполнять работу кейлоггера и сохранять захваченные нажатия клавиш в своей памяти.

Ранее исследователи продемонстрировали, что авторы вредоносных программ могут воспользоваться вычислительной мощностью графического процессора, чтобы упаковать код с очень сложными схемами шифрования намного быстрее, чем процессор.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here