Поделиться
Создан шифровальщик, внедряемый прямо в микрокод процессоров
Эксперт Rapid7 заявил, что написал демонстрационный эксплойт для установки шифровальщиков в микрокод процессоров. Публиковать его не будет.
Некоторых секретов лучше не знать
Уязвимость в процессорах AMD Zen позволяет злоумышленникам внедрять посторонний микрокод, тем самым подрывая многие его защитные инструменты и в целом меняя поведение процессора. На проходившей недавно конференции специалистов по кибербезопасности RSA Conference старший директор по аналитике угроз компании Rapid7 Кристиан Бейк (Christiaan Beek) заявил, что уже написал демонстрационный вредонос, который позволял бы внедрять в микрокод процессора постороннее ПО.
Как следствие, потенциальный злоумышленник получает возможность запускать любые вредоносы, вплоть до шифровальщиков, на самом низком уровне.
Публиковать эту программу Бейк не планирует.
Внедрение микрокода - технически сложная процедура, и по идее ее осуществление должно быть полностью зарезервировано за вендором процессора.
Однако в прошлом возможность несанкционированного внесения изменений в микрокод уже демонстрировалась.
Бэйк заявил, что его вредонос - это полноценный шифровальщик, который функционирует в контексте микрокода центрального процессора. Это обеспечивает ему полную невидимость для традиционных защитных инструментов.
По мнению Бэйка, хотя реализация атак на микрокод пока остается скорее теорией, буткиты уровня UEFI встречаются почти что регулярно - к тому же ими вовсю торгуют на киберкриминальных форумах.
Более того, Бэк привел утекшие логи переговоров участников группировки Conti от 2022 г., где они упоминали установку шифровальщиков прямо в программные оболочки (firmware) атакуемых устройств. Это позволит сохранять вредонос в системе и после загрузки.
Сами виноваты
В ходе своего выступления Бэйк раскритиковал сферу кибербезопасности за то, что ее игроки стали слишком много внимания уделять продвинутым технологиям вроде искусственного интеллекта, но при этом игнорировать сохраняющиеся проблемы с базовой кибербезопасностью.
«Шифровальщики-вымогатели в 2025 г. вообще не должны быть актуальной темой для разговора», - отметил Бэк, заявив, что ответственность за сохраняющуюся актуальность лежит на всех - и на вендорах, и на пользователях, и на компаниях, обеспечивающих страхование киберсреды.
«...Мы все еще бьемся с ними. Мы видим технологическую эволюцию, все кричат про агентный и прочий ИИ, машинное обучение. Но, положа руку на сердце, мы так и не сподобились решить базовые проблемы, - заявил Бэйк. - Я вижу одно и то же при каждом инциденте с шифровальщиком: неисправленная высокоопасная уязвимость, слабый пароль или отсутствие многофакторной аутентификации, или ее неправильное внедрение. Руки, по правде, опускаются».
«Чистейшая правда», — комментирует Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «К постоянным причинам успеха шифровальщиков стоит отнести также низкая готовность к фишингу и отсутствие технических средств противодействия. Атаки со стороны шифровальщиков чаще всего не носят высокотехнологического характера. Но вероятность того, что они выйдут на совершенно другой уровень из-за того, что вредоносы можно будет напрямую внедрять в прошивки и процессорный микрокод, никакого оптимизма не вызывает».
Организациям Бэйк порекомендовал сосредоточиться на основах кибербезопасности и улучшить привычки, связанные с кибергигиеной.
Короткая ссылка
