Обновления микрокода традиционно используются производителями чипов для устранения ошибок и повышения надёжности процессоров. Однако этот низкоуровневый слой между "железом" и машинным кодом может быть использован и в зловредных целях — например, для скрытого внедрения вредоносных программ, обходящих любые программные средства защиты. Современные угрозы демонстрируют: даже самые глубинные элементы системы нельзя считать безопасными по умолчанию.
Аналитик компании Rapid7 Кристиаан Бейк разработал концепт того, как можно «вооружить» обновления микрокода для установки программы-вымогателя непосредственно в CPU. Вдохновением для этой работы послужила уязвимость в процессорах AMD архитектуры Zen, обнаруженная исследователями Google ранее в этом году. Уязвимость позволяла изменять поведение инструкции RDRAND и внедрять собственный микрокод, который, например, всегда возвращал число "4" при генерации случайных данных.
Хотя обновления микрокода должны распространяться исключительно производителями процессоров и устанавливаться только на совместимые модели, описанный случай показывает, что вмешательство в этот процесс хотя и крайне сложное, но технически возможно. Имея опыт в области безопасности встроенного ПО, Бейк решил продемонстрировать, как может выглядеть вымогатель на уровне процессора.
По информации издания The Register, исследователь создал демонстрационную версию, в которой вредоносная нагрузка скрыта внутри CPU. Он назвал результат своей работы «увлекательным», однако пообещал не публиковать ни код, ни подробности реализации, чтобы не дать киберпреступникам возможность повторить эксперимент.
Тем не менее, Бейк подчёркивает, что подобные угрозы не являются чисто теоретическими. Так, известный буткит BlackLotus способен заражать даже системы с включённой защитой Secure Boot, модифицируя прошивку UEFI. В дополнение к этому Бейк привёл выдержки из утечки внутренней переписки хакерской группировки Conti в 2022 году: злоумышленники обсуждали возможность создания вымогателя, который загружается напрямую из UEFI.
«Если мы изменим UEFI, шифрование можно запустить до загрузки операционной системы. Ни один антивирус этого не увидит», — утверждали участники группировки.
При наличии нужной уязвимости, позволяющей загружать неподписанные обновления прошивки, такая атака могла бы быть реализована без особых преград.
По мнению Бейка, если бы подобной темой всерьёз занялись опытные хакеры ещё несколько лет назад, кто-то из них уже добился бы успеха. Он также раскритиковал индустрию ИТ за чрезмерное увлечение модными трендами вроде ИИ и чат-ботов в ущерб базовой кибербезопасности. Тем временем вымогательские группировки продолжают зарабатывать миллиарды на слабых паролях, критических уязвимостях и плохой реализации двухфакторной аутентификации.
