Хакерский инструмент прячет вредоносный код в GPU

На одном из хакерских форумов появилось сообщение, предлагающее на продажу концептуальный код (Proof-of-Concept, PoC) метода, который размещает вредоносный код в буфере памяти GPU, скрывая его от средств безопасности, сканирующих системную оперативную память.

Хотя этот метод не нов и ранее публиковался демонстрационный код, все серьёзные проекты до сих пор исходили из академического мира.

В 2013 году исследователи из Института компьютерных наук - Фонда исследований и технологий (FORTH) в Греции и Колумбийского университета в Нью-Йорке показали, что графические процессоры могут поддерживать работу кейлоггера и сохранять нажатия клавиш в своей памяти. Ранее было продемонстрировано, что авторы вредоносных программ могут использовать вычислительный ресурс GPU для упаковки кода со сложными схемами шифрования намного быстрее, чем это бы сделал центральный процессор.

По словам рекламодателя, новый PoC работает только в системах Windows, которые поддерживают версии 2.0 и выше фреймворка OpenCL для выполнения кода на различных процессорах, включая графические. Также упоминается, что код  был успешно испытан на видеокартах Intel (UHD 620/630), Radeon (RX 5700) и GeForce (GTX 740M, GTX 1650).

В воскресном твите исследователи из репозитория угроз VX-Underground заявили, что этот двоичный код исполняется графическим процессором в своём адресном пространстве. Они пообещали вскоре продемонстрировать данную методику в действии.

Продавец подчеркнул, что его метод не имеет никакого отношения к хорошо известной Linux-программы JellyFish, базирующейся в GPU, и не использует отображение кода в пользовательское пространство. Позднее, 25 августа, он информировал о состоявшейся первой продаже PoC неизвестному покупателю.