開発者チームが、CPU の代わりにグラフィック カードの処理能力とメモリを使用して隠れたままにする Linux システム用のルートキットを作成した。
Jellyfishと呼ばれるこのルートキットは、GPU(グラフィックス・プロセッシング・ユニット)上でマルウェアを完全に実行することが実現可能であることを実証するために設計された概念実証です。専用グラフィックカードには独自のプロセッサとRAMが搭載されているため、これが可能となります。
Jellyfishの開発者によると、こうした脅威は従来のマルウェアプログラムよりも悪質になる可能性があるという。まず、GPUマルウェアを分析するツールが存在しないという。
また、このようなルートキットは、DMA(ダイレクトメモリアクセス)を介して、他のほとんどのプログラムが使用するホストのプライマリメモリをスヌーピングできます。この機能により、ハードウェアコンポーネントはCPUを経由せずにメインシステムメモリを読み取ることができるため、このような操作の検出が困難になります。
さらに、悪意のある GPU メモリはシステムがシャットダウンされた後も存続すると、Jellyfish の開発者は GitHub ページで述べています。
ルートキットのコードは、GPUベンダーやその他の企業で構成されるオープンスタンダード開発コンソーシアムであるKronos Groupが開発したOpenCL APIを使用しています。そのため、このルートキットが機能するには、標的のシステムにOpenCLドライバがインストールされている必要があります。
サニー・リパートJellyfish は現在 AMD および Nvidia グラフィック カードで動作しますが、アプリケーションの高速化に GPU を使用できるようにするソフトウェア開発キットである AMD APP SDK を通じて Intel カードもサポートされています。
GPUはCPUよりも高速に数学計算を実行できるため、一部のマルウェアプログラムはすでにその計算能力を活用し、例えばビットコインのマイニングを行っています。しかし、これらの悪意のあるプログラムはJellyfishのように完全にGPU上で動作するわけではありません。
ルートキットの開発者は、Jellyfishはまだ開発中であり、バグが多く不完全であると警告している。コードは教育目的のみでの使用を想定していると彼らは述べている。
開発者らは、2013 年の学術研究論文「入力はできるが、隠すことはできない: ステルス性の高い GPU ベースのキーロガー」にヒントを得て、Demon という別の GPU ベースのキーロガーも作成しました。
「私たちはこの論文の著者とは一切関係ありません」とDemonの開発者たちは言った。「そこに記されていた内容と、それより少しだけ内容を加えただけのPoC(概念実証)を行っただけです。」
ユーザーは、GPUベースのマルウェアを使用する犯罪者について、今のところは心配する必要はないでしょう。しかし、JellyfishやDemonのような概念実証は、将来の開発に刺激を与える可能性があります。研究者が考案した攻撃が悪意のある攻撃者に採用されるのは、通常、時間の問題です。
