Producenci chipów zazwyczaj używają aktualizacji mikrokodu, aby naprawić błędy i poprawić niezawodność procesora. Jednak ta warstwa niskiego poziomu między sprzętem a jego kodem może również służyć jako ukryty wektor ataku, zdolny do ukrywania złośliwych ładunków przed wszystkimi zabezpieczeniami opartymi na oprogramowaniu. W miarę rozwoju zagrożeń nawet najgłębsze warstwy systemu nie mogą być już uważane za bezpieczne.
Analityk firmy Rapid7, Christiaan Beek, opracował proof-of-concept (PoC) ransomware, który instaluje się bezpośrednio na poziomie procesora, z pominięciem całego systemu operacyjnego i oprogramowania zabezpieczającego. Choć nie udostępnił on kodu ani szczegółów technicznych, demonstracja potwierdza, że takie ataki są realne, a nie tylko teoretyczne.
Christiaan Beek opracował proof-of-concept (PoC) ransomware, który instaluje się bezpośrednio na poziomie procesora.
Ransomware ukryte w procesorze
Inspiracją dla Beeka była poważna luka w procesorach AMD z rodziny Zen, odkryta wcześniej w tym roku przez zespół Google. Błąd pozwalał modyfikować instrukcję RDRAND, odpowiedzialną za generowanie liczb losowych, i zamienić ją np. na zawsze zwracającą wartość „4”. Choć pozornie to błahostka, stanowi ona dowód na możliwość manipulacji mikrokodem CPU.
Mikrokod aktualizowany jest zazwyczaj wyłącznie przez producentów, takich jak Intel czy AMD. Powinien być podpisany cyfrowo i dopasowany do konkretnego modelu procesora. Niemniej jednak, Beek udowodnił, że przy odpowiedniej wiedzy możliwe jest opracowanie złośliwej aktualizacji, która „oszukuje” mechanizmy weryfikacji.
Taka forma ataku pozwala osadzić szkodliwy ładunek w mikrokodzie CPU, całkowicie omijając antywirusy, firewalle, a nawet systemy typu Secure Boot.
To już się dzieje
Beek porównał swoją demonstrację do znanych wcześniej ataków na firmware, takich jak BlackLotus, który potrafił infekować UEFI, nawet na systemach z włączonym Secure Boot. Wyciek czatów z grupy ransomware Conti z 2022 roku ujawnił, że cyberprzestępcy już wtedy eksperymentowali z umieszczaniem ransomware w UEFI, umożliwiając uruchomienie szyfrowania jeszcze przed startem systemu operacyjnego. „Jeśli zmodyfikujemy UEFI, możemy uruchomić szyfrowanie przed załadowaniem systemu. Żaden AV tego nie wykryje” – przekonywali cyberprzestępcy.
Krytyka branży IT: gonimy trendy, a nie rozwiązujemy problemów
Beek nie ukrywał swojego rozczarowania podejściem branży technologicznej do kwestii bezpieczeństwa. Zwrócił uwagę, że zamiast skupiać się na fundamentalnych zagrożeniach, firmy wolą inwestować w modne technologie jak AI, chatboty czy machine learning, pozostawiając luki w podstawowej infrastrukturze.
Tymczasem grupy ransomware generują rocznie miliardy dolarów przychodu, wykorzystując słabe hasła, luki typu „zero-day” i brak wieloskładnikowej autoryzacji. Chociaż przedstawiona koncepcja nie trafiła w ręce przestępców, jej istnienie wyznacza niepokojący kierunek rozwoju cyberzagrożeń. Ataki na poziomie mikrokodu mogą stać się nową bronią w rękach zaawansowanych grup APT lub dobrze finansowanych cybergangów.
Pokaż / Dodaj komentarze do: Procesory zagrożone. Ransomware można zainstalować wprost na nich