La carte graphique, nouvel hôte pour logiciels malveillants
Des développeurs diffusent sur GitHub les prototypes de logiciels malveillants exploitant le processeur graphique des machines compromises afin de s‘assurer une furtivité hors pair.
Les logiciels malveillants classiques sont exécutés par le processeur de la machine compromise. Du coup, les protections se concentrent sur la mémoire vive et sur le comportement des processus, notamment.
Dès lors, des chercheurs de l’université de Columbia, aux Etats-Unis, se sont penchés sur la possibilité de profiter du processeur graphique pour exécuter un logiciel malveillant. Dans l’article présentant leurs travaux, ils expliquent l’intérêt de l’opération : « l’idée clé derrière notre approche est de surveiller le tampon clavier directement depuis le GPU via DMA, sans modifier le code du noyau ni les structures de données résidant dans la table des pages ». Et d’avoir réussi à implémenter un espion de saisies clavier totalement opérationnel, stockant sa moisson dans la mémoire graphique.
Ce qui n’a pas manqué d’inspiré des développeurs, l’équipe Jelly Fish. Sur GitHub, ils diffusent deux prototypes de logiciels malveillants conçus à partir de ces travaux.
Le premier est un rootkit GPU conçu pour Linux et exploitant OpenCL. Il supporte aussi bien les GPU AMD que Nvidia. Il resiste aux redémarrages à chaud et ses auteurs assurent étudier la question des redémarrages à froid. Le second est sans surprise un enregistreur de saisies clavier.
L’équipe Jelly Fish prévoit d’aller plus loin et de présenter un prototype d’outil d’accès à distance pour Windows basé une fois de plus sur le processeur graphique.
Dans les notes accompagnant leurs prototypes, les membres de l’équipe revendiquent la volonté de « faire prendre à conscience à touts que les logiciels malveillants basés sur GPU sont réels ».