Исследователь Кристиан Бик продемонстрировал рабочий прототип вируса, который заражает процессор компьютера. Такой вирус способен выжить при полной очистке диска или даже замене диска. Присутствие вируса непосредственно в процессоре также делает вирус невидимым для антивирусов.
Кристиан Бик, исследователь кибербезопасности из Rapid7, создал рабочий прототип вымогателя, работающий на уровне аппаратной прошивки — это не совсем тайная наука. Мы видели это в прошлом, с такими, как JoLax, CosmicStrand и другими руткитами, встроенными в прошивку UEFI. Однако это первый раз, когда кто-либо успешно модифицировал программы-вымогатели таким образом.
Современный процессор — это не только аппаратный «камень», но и его программная прошивка, которую называют микрокодом. Как правило, только производители чипов могут предоставить правильный микрокод для своих процессоров. Однако посторонние также могут написать новый микрокод для процессора — Google продемонстрировал, что он может вводить микрокод, чтобы заставить процессор всегда выбирать число 4, когда его просят ввести случайное число.
Бик сказал, что вдохновением для него послужила ошибка в процессорах AMD Zen, которая позволяла злоумышленникам загружать вредоносный микрокод и нарушать шифрование на аппаратном уровне. Это позволило бы им изменять поведение ЦП по своему усмотрению.
Бик говорит, что утечка логов чата Conti от 2022 года предполагает, что настоящие киберпреступники обсуждали ту же идею раньше, но они еще не пришли к рабочему решению. По крайней мере, об этом не знает сообщество кибербезопасности.
Бик также сказал, что не будет публиковать код в интернете: «Конечно, мы не будем его публиковать, но это захватывающе, не так ли?»
Программы-угонщики остаются одной из самых больших угроз в мире, и компании всех размеров ежегодно теряют миллиарды долларов. Фактически, недавнее исследование Veeam, в котором были собраны мнения 1300 руководителей CISO, ИТ-лидеров и специалистов по безопасности в Северной и Южной Америке, Европе и Австралии, показало, что за последний год программы-угонщики затронули почти три четверти предприятий.
Вирус в прцессоре, по словам Бика, — наихудший сценарий развития событий. «Программа-вымогатель на уровне процессора, изменения микрокода, и если вы находитесь в процессоре или встроенном ПО, вы обойдете все долбанные традиционные технологии, которые у нас есть», — говорит он.
