Des outils de logiciels malveillants cachés dans les cartes graphiques

Cybersécurité : un outil cache des malwares dans les cartes graphiques Nvidia et AMD

Les cybercriminels progressent vers les attaques avec des logiciels malveillants capables d’exécuter du code à partir de l’unité de traitement graphique (GPU) d’un système compromis. Bien que la méthode ne soit pas nouvelle et que le code de démonstration ait déjà été publié, les projets provenaient jusqu’à présent des universités ou étaient incomplets et non raffinés.

Vers un niveau plus élevé de sophistication des attaques

Plus tôt ce mois-ci, la preuve de concept (PoC) a été vendue sur un forum de hackers, marquant potentiellement la transition des cybercriminels vers un niveau supérieur de sophistication pour leurs attaques. Quelqu’un a proposé de vendre la preuve de concept (PoC) d’une technique qui, selon lui, protège le code malveillant des solutions de sécurité analysant la RAM du système.

Le vendeur n’a fourni qu’un aperçu de sa méthode, affirmant qu’il utilise la mémoire tampon du GPU pour stocker le code malveillant et l’exécuter à partir de là. Selon l’annonceur, le projet ne fonctionne que sur les systèmes Windows prenant en charge les versions 2.0 et supérieures du framework OpenCL pour exécuter du code sur divers processeurs, GPU inclus. Le message mentionnait également que l’auteur avait testé le code sur des cartes graphiques Intel (UHD 620/630), Radeon (RX 5700) et GeForce (GTX 740M, GTX 1650).

L’annonce est parue le 8 août. Environ deux semaines plus tard, le 25 août, le vendeur annonce avoir vendu le PoC sans divulguer les termes de l’accord. Un autre membre du forum des hackers a indiqué que des logiciels malveillants basés sur GPU avaient déjà été créés, citant JellyFish, un PoC pour un rootkit GPU basé sur Linux, créé il y a six ans.

Une méthode différente de JellyFish

Des outils de logiciels malveillants cachés dans les cartes graphiques

Ceux à l’origine du rootkit JellyFish ont également publié des PoC pour un enregistreur de frappe basé sur GPU et un cheval de Troie d’accès à distance basé sur GPU pour Windows. Les trois projets ont été publiés en mai 2015 et sont accessibles au public. Le vendeur a rejeté l’association avec le malware JellyFish en disant que leur méthode est différente et ne repose pas sur le mappage du code vers l’espace utilisateur.

Alors que la référence au projet JellyFish suggère que les logiciels malveillants basés sur GPU sont une idée relativement nouvelle, les bases de cette méthode d’attaque ont été établies il y a environ huit ans. En 2013, des chercheurs de l’Institute of Computer Science – Foundation for Research and Technology (FORTH) en Grèce et de l’Université Columbia à New York ont ​​montré que les GPU peuvent héberger le fonctionnement d’un keylogger et stocker les frappes capturées dans son espace mémoire.

Auparavant, les chercheurs ont démontré que les auteurs de logiciels malveillants peuvent tirer parti de la puissance de calcul du GPU pour emballer le code avec des schémas de cryptage très complexes beaucoup plus rapidement que le CPU.

Pin It on Pinterest