Специалисты по кибербезопасности вновь бьют тревогу из-за обнаруженной уязвимости в процессорах AMD Zen, которая позволяет злоумышленникам внедрять посторонний микрокод, обходя стандартные защитные механизмы. На недавно прошедшей конференции RSA Conference старший директор по аналитике угроз компании Rapid7 Кристиан Бейк рассказал, что им был создан демонстрационный вредонос, способный внедряться в микрокод процессора и изменять его поведение. По словам Бейка, такие возможности открывают путь к запуску любых вредоносных программ, включая опасные шифровальщики, на самом глубоком уровне аппаратной части компьютера.
Хотя сама процедура внедрения микрокода технически сложна и формально должна контролироваться исключительно производителем процессора, в прошлом уже были случаи несанкционированных изменений. Эксперт подчеркнул, что его демонстрационный шифровальщик функционирует внутри микрокода CPU и благодаря этому полностью скрыт от традиционных систем защиты, что делает угрозу особенно серьёзной. Несмотря на то что реальные атаки такого рода пока остаются в основном теоретическими, Бейк отметил, что буткиты уровня UEFI становятся всё более распространёнными и активно продаются на киберпреступных площадках.
В подтверждение серьёзности проблемы Бейк сослался на утекшие логи из переговоров группировки Conti за 2022 год, где обсуждалась возможность внедрения шифровальщиков прямо в прошивки атакуемых устройств. Такая методика позволяет вредоносным программам сохраняться в системе даже после перезагрузки или переустановки операционной системы, что значительно усложняет борьбу с ними. В своём выступлении эксперт критиковал индустрию кибербезопасности за чрезмерное увлечение передовыми технологиями, такими как искусственный интеллект и машинное обучение, в то время как базовые проблемы с безопасностью остаются нерешёнными.
Бейк считает, что основная причина сохраняющейся угрозы шифровальщиков связана с банальной недоработкой в обеспечении базовой кибергигиены — будь то неисправленные уязвимости, слабые пароли или недостаточное использование многофакторной аутентификации. Он признал, что несмотря на технологический прогресс, большинство инцидентов с вредоносным ПО происходит из-за элементарных ошибок и пренебрежения базовыми правилами безопасности. По мнению Михаила Зайцева, эксперта по информационной безопасности компании SEQ, низкая готовность пользователей к фишинговым атакам и отсутствие адекватных технических средств защиты остаются ключевыми факторами успеха шифровальщиков.
Зайцев также подчеркнул, что сама природа атак с внедрением вредоносного ПО в микрокод и прошивки открывает новую опасную эру, которая требует от организаций пересмотра своих подходов к безопасности. Он поддержал мнение Бейка о том, что компаниям следует сфокусироваться на укреплении фундаментальных аспектов кибербезопасности и выработке у сотрудников привычек к кибергигиене, что поможет снизить риски подобных атак. Таким образом, современные угрозы показывают, что инновации в сфере ИТ-безопасности должны сопровождаться серьёзным вниманием к базовым, но крайне важным мерам защиты.