Piratai tiria naujus būdus, kaip aukų kompiuteriuose įdiegti ir naudoti kenkėjišką programinę įrangą, ir neseniai išmoko tam naudoti vaizdo plokštes. Viename iš įsilaužėlių forumų, matyt, rusiškame, buvo parduotas technologijų demonstratorius (PoC), leidžiantis į grafikos greitintuvo vaizdo atmintį įterpti kenkėjišką kodą ir iš ten jį paleisti. Antivirusinės programos negalės aptikti išnaudojimo, nes paprastai nuskaito tik RAM.
Anksčiau vaizdo plokštės buvo skirtos atlikti tik vieną užduotį – apdoroti 3D grafiką. Nepaisant to, kad pagrindinė jų užduotis išliko nepakitusi, pačios vaizdo plokštės tapo savotiška uždara skaičiavimo ekosistema. Šiandien juose yra tūkstančiai blokų grafiniam pagreitinimui, keli pagrindiniai branduoliai, valdantys šį procesą, taip pat jų buferinė atmintis (VRAM), kurioje saugomos grafinės tekstūros.
Kaip rašo „BleepingComputer“, įsilaužėliai sukūrė kenkėjiško kodo buvimo vietos nustatymo ir vaizdo plokštės atmintyje saugojimo būdą, dėl kurio jo negali aptikti antivirusinė programa. Nieko nežinoma apie tai, kaip tiksliai veikia išnaudojimas. Ją parašęs įsilaužėlis tik pasakė, kad jis leidžia kenkėjišką programą įdėti į vaizdo atmintį ir tada paleisti tiesiai iš ten. Jis taip pat pridūrė, kad išnaudojimas veikia tik su Windows operacinėmis sistemomis, kurios palaiko OpenCL 2.0 ir naujesnes versijas. Anot jo, kenkėjiškos programos veikimą jis išbandė su integruota grafika Intel UHD 620 ir UHD 630, taip pat diskrečiomis vaizdo plokštėmis Radeon RX 5700, GeForce GTX 1650 ir mobiliąja GeForce GTX 740M. Dėl to atakuojama daugybė sistemų. Vx-underground tyrimų komanda per savo puslapį Twitter pranešė, kad artimiausiu metu pademonstruos nurodytos įsilaužimo technologijos veikimą.
Neseniai nežinomas asmuo pardavė kenkėjiškų programų techniką grėsmės veikėjų grupei.
Šis netinkamas kodas leido dvejetainius failus vykdyti GPU, o GPU atminties adresų erdvėje – CPU.
Netrukus pademonstruosime šią techniką.
-vx-underground (@vxunderground) Rugpjūtis 29, 2021
Reikėtų pažymėti, kad ta pati komanda prieš keletą metų paskelbė atvirojo kodo Jellyfish eksploataciją, kuri taip pat naudoja OpenCL prisijungti prie kompiuterio sistemos funkcijų ir priversti vykdyti kenkėjišką kodą iš GPU. Naujojo išnaudojimo autorius savo ruožtu neigė ryšį su Medūza ir pareiškė, kad jo įsilaužimo metodas yra kitoks. Įsilaužėlis nepasakė, kas nusipirko demonstrantą, taip pat sandorio sumos.
Taip pat skaitykite:
- Įsilaužėlis teigia turįs daugiau nei 100 milijonų „T-Mobile“ klientų duomenis
- Įdiegti entuziastingi įsilaužėliai Android (MIUI 11) „iPhone“.