Дослідник Крістіан Бік продемонстрував робочий прототип вірусу, який заражає процесор комп’ютера. Такий вірус здатний вижити при повній очистці диска або навіть заміні диска. Перебування вірусу безпосередньо в процесорі також робить вірус невидимим для антивірусів.
Крістіан Бік, дослідник кібербезпеки з Rapid7, створив робочий прототип вимагача, що працює на рівні апаратної прошивки – це не зовсім таємна наука. Ми бачили це в минулому, з подібними JoLax, CosmicStrand та іншими руткітами вбудованими в прошивку UEFI. Проте це перший випадок, коли хтось успішно модифікував програми-вимагачі таким чином.
Сучасний процесор – це не лише апаратний «камінь», а й його програмна прошивка, яку називають мікрокодом. Як правило, тільки виробники чипів можуть надати правильний мікрокод для своїх процесорів. Однак сторонні також можуть написати новий мікрокод для процесора – Google продемонстрував, що може ввести мікрокод, щоб змусити процесор завжди вибирати цифру 4, коли його просять ввести випадкове число.
Бік сказав, що натхненням для нього послужила помилка в процесорах AMD Zen, яка дозволяла зловмисникам завантажувати шкідливий мікрокод і порушувати шифрування на апаратному рівні. Це дозволило б їм змінювати поведінку центрального процесора на свій розсуд.
Бік каже, що витік логів чатів Conti від 2022 року передбачає, що справжні кіберзлочинці обговорювали ту ж ідею раніше, але вони ще не прийшли до робочого рішення. Принаймні, про це не знає співтовариство кібербезпеки.
Бік також сказав, що не буде публікувати код в інтернеті: “Звичайно, ми не будемо його публікувати, але це захоплююче, чи не так?”
Програми-викрадачі залишаються однією з найбільших загроз у світі, і компанії всіх розмірів щорічно втрачають мільярди доларів. Фактично, недавнє дослідження Veeam, в якому були зібрані думки 1300 керівників CISO, ІТ-лідерів і фахівців з безпеки в Північній і Південній Америці, Європі та Австралії, показало, що за останній рік програми-викрадачі торкнулися майже три чверті підприємств.
Вірус в прцесорі, за словами Біка, – найгірший сценарій розвитку подій. “Програма-вимагач на рівні процесора, зміни мікрокоду, і якщо ви перебуваєте в процесорі або вбудованому ПО, ви обійдете всі довбані традиційні технології, які у нас є”, – каже він.
