Кристиан Беек от компанията за киберсигурност Rapid7 е написал код за доказателство на концепцията за вид рансъмуер, който може да атакува процесора ви, и предупреждава за бъдещи заплахи, които могат да блокират устройството ви, докато не се плати откуп. Тази атака би заобиколила повечето традиционни форми на откриване на рансъмуер.

В интервю за The Register Беек, който е старши директор на отдела за анализ на заплахи в Rapid7, разкрива, че грешка в чипа AMD Zen му е дала идеята, че висококвалифициран нападател теоретично може „да позволи на тези нарушители да зареждат неодобрен микрокод в процесорите, да разбиват криптирането на хардуерно ниво и да променят поведението на процесора по свое желание“.

Екипът по сигурността на Google вече е идентифицирал уязвимост в сигурността на процесорите AMD Zen 1 до Zen 4, която позволява на потребителите да зареждат неподписани пакети с микрокод. По-късно стана ясно, че процесорите AMD Zen 5 също са засегнати от уязвимостта. За щастие проблемът може да бъде отстранен с нов микрокод, точно както предишната нестабилност на Raptor Lake. Въпреки това Беек е видял новооткритата възможност.

„Тъй като идвам от сферата на сигурността на фърмуера, си казах: „Мисля, че мога да напиша някакъв CPU ransomware“, и точно това направих.“

Бeeк наистина е написал доказателство за концептуален код за ransomware, който може да се скрие в процесора. Успокояващо е, че той обещава, че няма да го публикува. Експертът смята, че този тип експлойт може да доведе до най-лошия сценарий: „Рансъмуер на ниво процесор и промяна на микрокода, а ако сте в процесора или фърмуера, ще заобиколите всяка традиционна технология, която имаме там“.

Беек се позова и на изтекли коментари от хакерската група за рансъмуер Conti, които се появиха през 2022 г. В презентация той изтъкна чат логове от групата. „Работя по доказателство, при което рансъмуер се инсталира в UEFI, така че дори след преинсталиране на Windows, криптирането остава“, се казва в един от тях. Друг отбелязва, че с модифициран фърмуер на UEFI „можем да задействаме криптирането още преди зареждането на операционната система. Нито една антивирусна програма не може да открие това.“

В края на интервюто си Беек изразява разочарованието си, че „не трябва да говорим за рансъмуер през 2025 г.“, и заявява, че всички свързани страни трябва да се обединят, за да поправят основите на хардуерната сигурност. Той също така изказа съжаление, че много от случаите на нарушаване на сигурността чрез рансъмуер са били подкрепени от високорискови уязвимости, слаби пароли, липса на удостоверяване и др.

Снимка: Unsplash

Виж още: Квантовата симулация показва как реалността може да се срине като пясъчна кула