GPU-sereggel megtörhető az Akira zsarolóvírus

Igazolódott, hogy ha kellő GPU-erőforrás áll rendelkezésre, akkor az Akira zsarolóvírus által alkalmazott titkosítás belátható időn belül visszafejthetővé válhat.
 

A fájlokat titkosító zsarolóvírusok kapcsán számos biztonsági cég foglalkozik azzal, hogy különféle dekódoló eszközöket fejlesszen ki annak érdekben, hogy a kompromittált állományok helyreállíthatóvá váljanak. Erre leginkább akkor van esély, ha valamilyen implementációs hiba csúszik egy zsarolóvírusba, vagy esetleg nyilvánoságra kerülnek privát kulcsok. 

Yohanes Nugroho egy másik megközelítéssel élt akkor, amikor a világszerte rengeteg kárhoz hozzájáruló Akira zsarolóprogram által alkalmazott kódolást próbálta meg visszafejteni. Ennek során a károkozó Linux kompatibilis kiadását vette górcső alá.

Nugroho vizsgálataiból is az derült ki, hogy az Akira készítői igyekeztek jelentősen megnehezíteni a dekódolást. Ennek érdekében a károkozójukat úgy fejlesztették ki, hogy az minden egyes fájl esetében új titkosító kulcsot generáljon, amit aztán erős, RSA-4096 alapokon véd. 

Mindez azonban nem szegte kedvét a kutatónak, aki úgy határozott, hogy ír egy olyan dekódoló programot, ami brute force módszerrel fejti vissza az alkalmazott titkosított kulcsot. Ehhez azt használta ki, hogy az Akira a titkosításhoz (nanoszekundumos pontosságú) időbélyegeket is felhasznál (seedek generálásához). Végül a szakember sikerrel járt, igaz ehhez nem kevés erőforrásra volt szüksége.

A GPU-ban rejlő lehetőséget kihasználó dekódoló megoldását a kutató először egy RTX 3060 alapú grafikus kártya bevonásával futtatta, de ez kevésnek bizonyult, hasonlóan egy RTC 3090-es kártyához. Ezekkel másodpercenként 60 millió titkosító kulcsot tudott tesztelni, ami nem volt elégséges a sikerhez. Ezért úgy határozott, hogy a projekthez igénybe veszi a RunPod, valamint a Vast.ai felhős szolgáltatásokat, és végül 16 RTX 4090 GPU segítségével 10 óra alatt sikerült dekódolnia az első fájlt. 

Mivel az Akira állományonként más-más kulcsot generál, ezért a dekódolás egy incidens után nagyon időigényes lehet, de mint a példa is mutatja, egy-egy kritikus állomány esetén sikerrel járhat. Különösen hasznos lehet akkor, ha az Akira egy virtuális gépet kompromittál, amelynek virtuális lemezképét kell helyreállítani ilyen módon.

Nugroho elmondta, hogy körülbelül 1200 dollárt költött a megfelelő GPU-erőforrások biztosítására a projekt során. Ugyanakkor azt is hozzátette, hogy a kódját a GPU-k programozásában nála jártasabb szakemberek még biztos tudják olyan módon optimalizálni, hogy még gyorsabban lehessen a dekódolásokat elvégezni. Ezért a programjának forráskódját elérhetővé tette a GitHubon.