İnternette satışa sunulduğu iddia edilen araçlar, kötü amaçlı yazılımların ekran kartı VRAM’ine entegre edilmesini sağlıyor.
İnternet kullanıcılarının ve teknolojik aletlerin yaygınlaşmasıyla birlikte siber güvenlik sorunları da büyümeye devam ediyor. Siber suçlular, ekran kartı içerisinde yer alan VRAM’in içinde kötü amaçlı kodlar saklayarak kartlardan yararlanmaya çalışıyor. Böylelikle belleğe aktarılan tüm kodlar, bilgisayarın ana RAM’ini tarayan antivürüs araçlarından gizlenmiş oluyor.
Bleeping Computer‘ın raporuna göre, birkaç gün öncesinde bu senaryoyu mümkün kılan bir araç çevrimiçi olarak satıldı. Ekran kartlarının tek amacını 3B iş yüklerini işlemek ve hızlandırmak olarak tanımlayabiliriz. Bunun yanında modern kartlar, video hızlandırma için binlerce çekirdek, bunları yönetmek için birkaç kontrol çekirdeği ve oyun dokularını işlemek için kendi VRAM’lerine sahipler.
Görünüşe bakılırsa bilgisayar korsanları, kötü amaçlı yazılımları ekran kartlarının içinde yer alan belleklere gizleme yolunu tercih etmeye başladı. Bu konuda ayrıntılar sınırlı, ancak bu tür bir araç 8 Ağustos’ta internet ortamına düştü ve gelen bilgilere göre 25 Ağustos’ta satışı yapıldı.
Bu açığın nasıl çalıştığı tam olarak bilinmiyor ve korsanların geliştirdiği araç seti, GPU VRAM’inde adres alanı tahsis edebiliyor. Antivürüs yazılımları bildiğiniz üzere VRAM’ler üzerinde tarama yapmıyor, dolayısıyla buraya yerleştirilen kötü amaçlı yazılımlar algılanamıyor.
Güvenlik istismarının çalışması için kullanıcının OpenCL 2.0 veya üstünü destekleyen bir Windows PC’ye ihtiyacı var. İddiaya göre göre bazı testler yapılırken Intel’in UHD 620/630 entegre grafikleri, Radeon RX 5700, GeForce GTX 740M ve GTX 1650 gibi grafik kartlarında çalışıyor.
Aslına bakarsanız buna benzer bir güvenlik açığı daha önce de gündeme gelmişti. Birkaç yıl önce araştırmacılar, sistem komutlarını GPU’ya bağlayan ve buradan kötü amaçlı kodları çalıştıran OpenCL LD_PRELOAD tekniğini keşfetmişlerdi. Bu tekniği kullanan açık kaynaklı güvenlik problemi ise Jellyfish olarak adlandırıldı. Bu kodlar, herhangi bir virüs taramasında algılama olmadan kodu gizlemek için OpenCL’nin kullanılabileceğini gösteriyor.
