Hakerlər qurbanların kompüterlərində zərərli proqram təminatının tətbiqi və istifadəsinin yeni yollarını araşdırırlar və bu yaxınlarda bu məqsədlə video kartlardan istifadə etməyi öyrəniblər. Haker forumlarından birində, görünür, rus dilində, qrafik sürətləndiricinin video yaddaşına zərərli kodu daxil etməyə və sonra onu oradan işə salmağa imkan verən texnologiya nümayiş etdiricisi (PoC) satıldı. Antiviruslar istismarı aşkar edə bilməyəcəklər, çünki onlar adətən yalnız RAM-ı skan edirlər.
Əvvəllər video kartlar yalnız bir vəzifəni yerinə yetirmək üçün nəzərdə tutulmuşdu - 3D qrafikaların işlənməsi. Onların əsas vəzifəsinin dəyişməz qalmasına baxmayaraq, video kartların özləri bir növ qapalı hesablama ekosisteminə çevrildi. Bu gün onlar qrafik sürətləndirmək üçün minlərlə blokdan, bu prosesi idarə edən bir neçə əsas nüvədən, həmçinin qrafik fakturaların saxlandığı öz bufer yaddaşından (VRAM) ibarətdir.
BleepingComputer-in yazdığı kimi, hakerlər zərərli kodun yerini müəyyənləşdirmək və videokartın yaddaşında saxlamaq metodunu işləyib hazırlayıblar, nəticədə onu antivirus aşkarlaya bilmir. İstismarın necə işlədiyi barədə heç nə məlum deyil. Onu yazan haker yalnız onun zərərli proqramı video yaddaşa yerləşdirməyə və sonra birbaşa oradan icra etməyə imkan verdiyini bildirib. O, həmçinin əlavə edib ki, istismar yalnız OpenCL 2.0 çərçivəsini və daha sonrakı versiyaları dəstəkləyən Windows əməliyyat sistemləri ilə işləyir. Onun sözlərinə görə, Intel UHD 620 və UHD 630 inteqrasiya olunmuş qrafikası, həmçinin Radeon RX 5700, GeForce GTX 1650 və mobil GeForce GTX 740M diskret videokartları ilə zərərli proqram təminatının işini sınaqdan keçirib. Bu, çoxlu sayda sistemi hücuma məruz qoyur. Vx-yeraltı tədqiqat qrupu öz səhifələri vasitəsilə Twitter Yaxın vaxtlarda qeyd olunan sındırma texnologiyasının işini nümayiş etdirəcəyini bildirdi.
Bu yaxınlarda naməlum şəxs bir qrup Təhdid Aktyorlarına zərərli proqram texnikasını satdı.
Bu səhv kod ikili faylları CPU-lar deyil, GPU tərəfindən və GPU yaddaş ünvan məkanında icra etməyə imkan verdi.
Tezliklə bu texnikanı nümayiş etdirəcəyik.
- vx-yeraltı (@vxunderground) August 29, 2021
Qeyd etmək lazımdır ki, eyni komanda bir neçə il əvvəl açıq mənbəli Jellyfish istismarlarını dərc etdi, bu da OpenCL-dən PC sistem funksiyalarına qoşulmaq və GPU-dan zərərli kodun icrasını məcbur etmək üçün istifadə edir. Yeni ekspluatın müəllifi isə öz növbəsində Meduza ilə əlaqəni inkar edib və onun sındırma metodunun fərqli olduğunu bildirib. Haker nümayişçini kimin aldığını, eləcə də sövdələşmənin məbləğini açıqlamayıb.
Həmçinin oxuyun:
- Haker 100 milyondan çox T-Mobile müştərisinin məlumatlarına sahib olduğunu iddia edir
- Həvəsli hakerlər quraşdırılıb Android (MIUI 11) iPhone-da