Intel pensa che il virus della scheda grafica "Jellyfish" non sia poi così spaventoso

A maggio di quest'anno, un gruppo di esperti di sicurezza ha scoperto il cosiddetto "virus della scheda grafica", un malware in esecuzione sulla scheda grafica GPU. Hanno sostenuto che le attuali soluzioni di sicurezza non offrono alcuna difesa contro questo problema, il che ha causato molto panico per un po'. Tuttavia, dopo alcune ricerche, Intel ritiene che la cosa non sia poi così spaventosa. Un gruppo di sviluppatori denominato collettivamente "Jellyfish" ha creato per primo un rootkit e un keylogger in grado di lanciare attacchi GPU nel sistema Linux, ha progettato uno strumento di accesso remoto (RAT) in Windows e ha pubblicato un codice proof-of-concept su GitHub.

I ricercatori Intel hanno analizzato il codice e affermano in un nuovo rapporto sulla sicurezza che il malware GPU può essere facilmente rilevato se gli strumenti di scansione sanno cosa cercare.

"Innumerevoli articoli ripetono il punto di vista dell'autore", afferma nel rapporto Craig Schmugar, un ingegnere della sicurezza di McAfee ora in Intel. "Se non si considera il contesto rilevante, è facile fraintendere e creare l'illusione che esista un super virus non rilevabile in grado di funzionare in modo autonomo e che le attuali difese siano completamente inefficaci, il che non è vero."

Intel si è concentrata sul funzionamento di JellyFish, in particolare su come la GPU e la memoria comunicano tramite il bus DMA, e ha scoperto che deve prima ottenere il maggior numero di diritti di accesso di livello core ring 0 sulla CPU prima di poter mappare la memoria di sistema sulla GPU per la lettura e la scrittura. La fattibilità di questa operazione dipende dal grado di protezione del kernel del sistema.

Inoltre, il malware GPU ha bisogno di eliminare il file master della CPU nel programma di installazione per nascondersi, il che fa sì che il codice esista solo sulla GPU. Verrà attivato il processo di rilevamento e ripristino del timeout (TDR) nel sistema Windows, la scheda grafica verrà reimpostata e il codice dannoso scomparirà naturalmente.

Se un aggressore tenta di modificare il tempo di ripristino predefinito di TDR (2 secondi), il sistema considererà tale comportamento sospetto e attiverà un avviso di sicurezza.

Infatti, se il malware GPU continua a funzionare, consumerà sicuramente molte risorse GPU, rallentando la risposta dell'interfaccia grafica e delle applicazioni grafiche, cosa che gli utenti noteranno sicuramente.

Per quanto riguarda l'affermazione secondo cui il codice esisterà anche dopo un riavvio, Intel ha affermato che possono essere conservati solo i dati, non il codice eseguibile. Se il codice dannoso vuole sopravvivere a un riavvio, deve nascondersi all'esterno della GPU, che è facilmente rilevabile.

Vincitore del Qingyun Plan di Toutiao e del Bai+ Plan di Baijiahao, del Baidu Digital Author of the Year 2019, del Baijiahao's Most Popular Author in the Technology Field, del Sogou Technology and Culture Author 2019 e del Baijiahao Quarterly Influential Creator 2021, ha vinto numerosi premi, tra cui il Sohu Best Industry Media Person 2013, il China New Media Entrepreneurship Competition Beijing 2015, il Guangmang Experience Award 2015, il China New Media Entrepreneurship Competition Finals 2015 e il Baidu Dynamic Annual Powerful Celebrity 2018.