Η Rapid7 έγραψε ένα PoC (proof-of-concept code), αλλά δεν θα το δημοσιεύει. Αν ο Christiaan Beek της Rapid7 αποφάσιζε να αλλάξει καριέρα και να γίνει εγκληματίας ransomware, ξέρει ακριβώς πώς θα καινοτομούσε: CPU ransomware.
Ο ανώτερος διευθυντής ανάλυσης απειλών για την εταιρεία κυβερνοασφάλειας πήρε την ιδέα από ένα σφάλμα στα AMD Zen chips που, αν το εκμεταλλεύονταν επιτιθέμενοι με υψηλή εξειδίκευση, θα επέτρεπε στους εισβολείς να φορτώσουν μη εγκεκριμένο μικροκώδικα στους επεξεργαστές, σπάζοντας την κρυπτογράφηση σε επίπεδο hardware και τροποποιώντας τη συμπεριφορά της CPU κατά βούληση.
Συνήθως, μόνο οι κατασκευαστές chip μπορούν να παρέχουν τον σωστό μικροκώδικα για τις CPU τους, κάτι που μπορεί να κάνουν για να βελτιώσουν την απόδοση ή να διορθώσουν κενά ασφαλείας. Ενώ είναι δύσκολο για τους εξωτερικούς χρήστες να καταλάβουν πώς να γράψουν νέο μικροκώδικα, δεν είναι αδύνατο και στην περίπτωση του σφάλματος της AMD, η Google απέδειξε ότι μπορούσε να εισάγει μικροκώδικα για να κάνει το chip να επιλέγει πάντα τον αριθμό 4 όταν του ζητηθεί ένας τυχαίος αριθμός.
“Προερχόμενος από ένα υπόβαθρο στην ασφάλεια firmware, σκέφτηκα, woah, νομίζω ότι μπορώ να γράψω κάποιο ransomware CPU”, ανέφερε ο Beek στο The Register.
Ο Beek έγραψε ένα PoC για ransomware που κρύβεται στον επεξεργαστή του υπολογιστή. “Φυσικά, δεν θα το κυκλοφορήσουμε αυτό, αλλά είναι συναρπαστικό, σωστά;”
Αυτό, σύμφωνα με τον Beek, είναι το χειρότερο σενάριο.
“Ransomware σε επίπεδο CPU, με αλλοίωση του μικροκώδικα, και αν βρίσκεται στην CPU ή στο firmware, θα μπορεί να παρακάμψει κάθε παραδοσιακή τεχνολογία που διαθέτουμε”.
Δεν είναι ένας θεωρητικός κίνδυνος, αν και είναι πολύ μικρός αυτή τη στιγμή. Υπάρχουν ορισμένες ενδείξεις ότι οι εγκληματίες κινούνται προς αυτόν τον στόχο, από τα bootkit UEFI που χρονολογούνται από το 2018 και τώρα πωλούνται σε “υπόγεια” forum επιτρέποντας την παράκαμψη του Secure Boot. Έτσι μπορούν να ενσωματώσουν κακόβουλο λογισμικό στο firmware, επιβιώνοντας από επανεκκινήσεις του λειτουργικού συστήματος.
Πιο πρόσφατα, οι διαρροές του Conti του 2022 έδειξαν ότι οι προγραμματιστές της συμμορίας ransomware εργάζονταν πάνω σε firmware ransomware. Ο Beek συμπεριέλαβε μερικά αποσπάσματα από τα αρχεία καταγραφής συνομιλίας του Conti στην παρουσίασή του στο RSAC:
“Εργάζομαι σε ένα PoC όπου το ransomware εγκαθίσταται μέσα στο UEFI, οπότε ακόμα και μετά την επανεγκατάσταση των Windows, το ransomware παραμένει.”
“Εάν τροποποιήσουμε το firmware του UEFI, μπορούμε να ενεργοποιήσουμε το ransomware πριν καν φορτώσει το λειτουργικό σύστημα. Κανένα antivirus δεν μπορεί να το ανιχνεύσει αυτό.”
“Υπάρχουν ήδη ευάλωτες εκδόσεις firmware UEFI που επιτρέπουν μη υπογεγραμμένες ενημερώσεις. Απλώς χρειαζόμαστε το σωστό exploit.”
“Φανταστείτε ότι ελέγχουμε το BIOS και φορτώνουμε το δικό μας bootloader που κλειδώνει τον δίσκο μέχρι να καταβληθούν τα λύτρα.”
Ενώ ο Beek λέει ότι δεν έχει βρεθεί ακόμη κάποιο λειτουργικό malware, “αν δούλευαν πάνω σε αυτό πριν από μερικά χρόνια, μπορείτε να στοιχηματίσετε ότι κάποιοι από αυτούς κάποια στιγμή θα αρχίσουν να τα δημιουργούν.”
Ο Beek ξέρει ότι είναι δυνατό επειδή το έχει ήδη κάνει ο ίδιος.
Αν και τα δελτία τύπου θα είναι από πολύ επιλεγμένα έως και σπάνια, είπα να περάσω … γιατί καμιά φορά κρύβονται οι συντάκτες.
