Кристиан Бик, сотрудник компании Rapid7, разработал экспериментальную версию вредоносной программы, способной поражать непосредственно центральный процессор компьютера, предупреждая пользователей о возможных рисках будущего типа атак, способных зашифровывать жесткий диск жертвы вплоть до выплаты выкупа преступнику. Такой метод атаки способен обойти многие стандартные способы защиты от вирусов-шифровальщиков.
По словам Бика, старшего директора отдела анализа угроз в Rapid7, опубликованным в издании The Register, его вдохновили сведения об ошибке в архитектуре AMD Zen, допускающей возможность для опытных киберпреступников внедрить в микросхемы нелегитимный микрокод, сломав аппаратное шифрование и свободно управляя поведением центрального процессора.
Ранее специалисты команды безопасности Google выявили брешь в системах безопасности семейства процессоров AMD Zen первого–четвертого поколений, позволяющую устанавливать несертифицированные обновления микрокода. Впоследствии стало известно, что аналогичные проблемы присутствуют и в пятом поколении архитектуры Zen. Несмотря на наличие решения путем обновления микропрограмм, Би́к решил воспользоваться ситуацией и создал свою концепцию вируса-вымогателя.
«Имея опыт в области безопасности встроенного ПО, я задумался: почему бы не создать вирус-вымогатель для CPU?» — поделился он мотивацией своего поступка.
Сам разработчик утверждает, что данная программа существует лишь в виде проверочного концептуального прототипа и не планируется выпуск ее в публичный доступ.
Далее Бик заявил, что подобные атаки представляют собой потенциальную угрозу катастрофического масштаба: гипотетический вирус сможет изменять микрокод процессора, оставаясь незамеченным традиционными средствами защиты. По его мнению, последствия могут оказаться крайне серьезными: «Программа-вымогатель уровня процессора способна обходить абсолютно любые современные системы защиты».
Кроме того, специалист упомянул публикации хакерской группировки Conti, датируемые 2022 годом. Во время выступления на конференции RSAC он привел выдержки из онлайн-чатов участников Conti, где рассматривалась идея внедрения вредоносного ПО прямо внутрь прошивки материнской платы (UEFI). Один из членов банды писал: «Работаю над доказательством концепции, когда программа-вымогатель устанавливается внутри UEFI и продолжает шифровать данные даже после полного сброса операционной системы». Еще один участник добавил, что измененная прошивка позволит запускать процедуру шифрования раньше старта самой операционной системы, что делает атаку невидимой для антивирусов.
Итоговая картина выглядит устрашающе: если злоумышленники смогут контролировать BIOS устройства, они получат возможность принудительно блокировать жесткий диск до момента уплаты выкупа, независимо от действий пользователя по восстановлению системы.
