فروش ابزار هکی که بدافزارها را در حافظه‌ی کارت گرافیک پنهان می‌کند

یکی از نرم‌افزارهایی که سالانه میلیون‌ها دلار صرف خرید آن می‌شود، آنتی‌ویروس‌ است؛ نرم‌افزارهایی امنیتی که وظیفه‌ی شناسایی انواع ویروس‌ها و بدافزارها را دارند تا آسیبی به سخت‌افزار، سیستم‌عامل دستگاه یا اطلاعات کاربر وارد نشود.اما هکرها نیز موفق به تولید ابزارهایی می‌شوند که امکان دور زدن ویروس‌ها را دارند. اخیرا TechSpot به ابزاری پرداخته است که قابلیت دور زدن آنتی‌ویروس‌ و قرار دادن بدافزار در حافظه‌ی VRAM کارت گرافیک دارد.

طبق گزارش، اخیراً شخصی اقدام به فروش یک ابزار PoC (یا proof-of-concept) در یک انجمن مختص به هکرها کرده که البته جزئیات زیادی از کارکرد این ابزار فاش نشده است؛ اما گفته شده این PoC بخشی از فضای حافظه بافر GPU را به کد بدافزار مورد نظر اختصاص می‌دهد و این کد مخرب را از همان محل اجرا می‌کند. موردی که با توجه به نحوه‌ی عملکرد آنتی‌ویروس‌ها می‌تواند برای کاربران کامپیوترهای مبتنی بر ویندوز دردسرهای زیادی ایجاد کند.

فروشنده‌ی این ابزار توضیح داده است که این کد تنها در سیستم‌هایی که از OpenCL 2.0 یا بالاتر پشتیبانی می‌کنند کارایی دارد و ضمناً تأیید کرده است که می‌توان از آن برای کارت گرافیک‌های AMD Radeon RX 5700 و GeForce GTX 740M و GTX 1650 نیز استفاده کرد. این کد روی گرافیک یکپارچه اینتل UHD 620/630 نیز کار می‌کند.

این پست نشان می‌دهد که فروشنده در ۸ آگوست (۱۷ مرداد) تبلیغ را آغاز کرده و تقریباً دو هفته بعد PoC مورد نظر را به شخصی فروخته است. گروه تحقیقاتی Vx-underground در تاریخ ۲۹ آگوست (۷ شهریور) توییتی منتشر کرده که تأیید می‌کند این کد مخرب، امکان اجرای دستورهای باینری توسط GPU و در حافظه‌ی خود پردازنده‌ی گرافیکی را فراهم می‌کند. در ادامه گفته شده است نحوه‌ی عملکرد این تکنیک به‌زودی نشان داده خواهد شد.

پیش از این هم بدافزارهای مبتنی بر GPU دیده شده بود. حمله‌ی اوپن سورس Jellyfish که جزئیات آن در GitHub منتشر شد، یک PoC پردازنده گرافیکی مبتنی بر لینوکس است که تکنیک LD_PRELOAD را از OpenCL اجرا می‌کند. توسعه‌دهندگان JellyFish علاوه‌بر این تروجان‌های دسترسی از راه دور در پردازنده‌ی گرافیکی سیستم‌های ویندوزی و همچنین PoC-هایی برای یک کی‌لوگر مبتنی بر GPU را منتشر کرده بودند. Keylogger ابزاری برای سرقت رمزها و اطلاعات شخصی کاربران است. محققان این ابزار در سال ۲۰۱۳ درباره آن نوشته بودند:

ایده‌ی اصلی این روش ضبط و مانیتورینگ بافر کیبورد سیستم به‌صورت مستقیم از GPU با استفاده از DMA یا دسترسی مستقیم به حافظه است که بدون هیچگونه نیاز به تغییر در کد kernel و ساختار داده‌های کنار صفحه عمل می‌کند. ارزیابی نمونه‌های اولیه‌ی ما نشان می‌دهد که این کی‌لوگر مبتنی بر GPU می‌تواند تمامی دستورها کلیدی کاربر را ضبط و در حافظه GPU نگه‌داری کند. حتی می‌توان داده‌های مورد نظر را در همین محل آنالیز کرد و در زمان بسیار کوتاهی به تجزیه و تحلیل آن پرداخت.

در سال ۲۰۱۱ نیز بدافزار جدیدی کشف شده بود که از طریق GPU به سرقت بیت کوبن می‌پرداخت. فروشنده‌ی PoC جدید ادعا کرده است که روش عملکرد آن با JellyFish تفاوت دارد و این ابزار به نگاشت کد در فضای کاربری متکی نیست.