För drygt ett år sedan tillkännagav Nvidia en oväntad mjukvarufunktion: anti-krypteringskod inbakad i drivrutinerna för sina senaste grafikprocessorer (GPU).
Enkelt uttryckt, om drivrutinen tror att du använder GPU:n för att utföra beräkningar relaterade till Ethereums kryptovalutaberäkningar, halverar den exekveringshastigheten för din kod.
Denna begränsning är inte menad att skydda dig från dig själv, till exempel för att begränsa hårdvaruskador om du försöker köra GPU:n för hårt och få den att överhettas på ett farligt sätt.
Allt handlar om att hantera utbud och efterfrågan.
Tyvärr för angelägna spelare, som älskar kraftfulla GPU:er eftersom de förbättrar sin spelupplevelse med snabbare och mer realistisk grafik, älskar kryptovalutagruvsyndikat bra GPU:er ännu mer.
Det beror på att GPU:er avsevärt accelererar brytningen av Ethereum-baserade kryptovalutor, med beräkningshastigheter (eller hashrates, som de kallas på jargongen) allt från fem till tio gånger högre än en normal CPU från samma mängd el.
Ännu mer olyckligt för spelare, som kanske köper en eller två GPU:er var i taget, använder gruvsyndikat sin köpkraft för att köpa upp GPU:er i bulk.
Detta i sin tur uppmuntrar scalpers att köpa i bulk också, i syfte att sälja sina "andra hand"-kort långt över de nya detaljhandelspriserna när de officiella förråden tar slut.
Nvidia bestämde sig för att blidka sina många entusiastiska spelfans – helt klart företagets mest lojala långsiktiga GPU-kunder, med tanke på att de faktiskt vill ha grafikkort för att göra grafik – genom att dela upp dess processorkortslinje i två delar.
Mining XOR Gaming
Som Nvidia sa förra året:
För att möta de specifika behoven av Ethereum-brytning, tillkännager vi NVIDIA CMP [Cryptocurrency Mining Processor]-produktlinjen för professionell gruvdrift. CMP-produkter, som inte gör grafik, är [… ]optimerade för bästa gruvprestanda och effektivitet. De uppfyller inte specifikationerna som krävs för en GeForce GPU och påverkar därför inte tillgängligheten av GeForce GPU:er för spelare.
Tanken är att GeForce GPU:er körs med full hastighet om de används för grafik, men om de används för Ethereum-brytning är de avsiktligt hämmade av Nvidias Lite Hash Rate system, eller LHR för kort.
Den allmänna opinionen vid tidpunkten för tillkännagivandet var kraftigt delad, som en snabb titt på många kommentarer på förra årets artikel kommer att avslöja.
Nakna säkerhetsläsare reagerade på många sätt.
A spelare som heter Trillian sade "Bra på Nvidia!"
Andra hävdade att detta LHR-beteende var orättvist eftersom de använde sina GPU-kort för en blandning av spel och gruvdrift (blandat, spännande, med kommentarer från läsare som hävdade att dessa påståenden var påhittade).
Och en kommentator ringde J Riley Castine var ännu mer kritisk, ville veta, "Hur är ett sådant drag […] inte ett brott mot antitrustlagar?"
Gå ur ljuset, gå in i natten
Tja, det ser ut som om den här år gamla gemenskapsklyftan över LHR har spridit sig över till ren cyberbrottslighet.
Den populära teknikwebbplatsen Tom's Hardware, bland många andra kommentatorer, rapporterar det cyberbrottsgänget Lapsus$ påstår sig ha hackat Nvidia och stulit en terabytes data...
…bara för att utfärda vad som motsvarar ett ovanligt krav på ransomware: Ta bort Lite Hash Rate limiter, eller så!
Enligt en IM-skärmdump postad av Tom's Hardware skrev de påstådda hackarna:
Hallå,
Vi bestämde oss för att hjälpa gruv- och spelgemenskapen, vi vill att nvidia ska driva en uppdatering för all 30-seriens firmware som tar bort varje lhr-begränsningar, annars kommer vi att läcka hw-mappen.
Om de tar bort lhr kommer vi att glömma hw-mappen (det är en stor mapp) Vi känner båda till lhr impact mining och gaming.
Tack.
Smakämnen hw mapp (hw är en förkortning för "datorhårdvara") som hänvisas till ovan är den påstådda 1 TB av påstådda stulna data, uppenbarligen inklusive kortschema, drivrutins- och firmwarekod, intern dokumentation och mer.
Ironiskt nog, i samma meddelandetråd, hävdar dessa hackare också att de säljer sin egen "LHR unlocker" för vissa Nvidia-kort, även om den underjordiska marknaden för ett sådant sprickverktyg helt klart skulle försvinna om Nvidia skulle ta bort LHR-restriktionerna för alla.
Kanske den påstådda existensen av denna darkweb LHR-upplåsare är tänkt att få Nvidia att känna sig ännu mer pressad, med motiveringen att en LHR-bypass kan offentliggöras ändå, så företaget kan lika gärna gå med på utpressningskravet?
Vad göra?
Det är svårt att veta vad man ska tro när meddelanden av det här slaget börjar cirkulera.
Kom hackarna verkligen in till att börja med? Lyckades de verkligen stjäla informationen de gör anspråk på? Var detta en konventionell ransomware-attack, som syftade till att både stjäla och förvränga data för extra hävstång? Om så är fallet, och vi antar därför att datakrypteringsdelen omintetgjordes, varför skulle vi tro på någon av skryten i meddelandena? Har skurkarna verkligen en egen LHR-upplåsare att lägga till dramat?
Vi kanske aldrig vet svaren på dessa frågor, men vi kan lära oss av anklagelserna ändå, som upprepar vikten av djupförsvar.
Djupförsvar involverar inte bara flera lager av proaktivt skydd som syftar till att tidigt upptäcka och förebygga hot, utan behöver helst också fortlöpande hotbedömning och respons, för att ta reda på vad som verkligen hände om anomalier upptäcks.
Som de självutformade Nvidia-hackerna säger:
Vi var inne på nvidia-system i ungefär en vecka, vi eskalerade snabbt till admin för många system. Vi tog 1 TB data.
Oavsett om det är sant eller inte i det här fallet, beskriver det karaktären hos många moderna cyberattacker, som inte bara är automatiserade "smash, gran and run"-sallies längre.
Moderna cyberintrång involverar vanligtvis mänskligt ledd nätverksutforskning, privilegieskalering och dataexfiltrering, ofta under en längre period.
Inkräktare med administratörsbefogenheter introducerar ofta bakdörrar längs vägen, eller lägger till extra nätverkskonton för sig själva, vilket ger sig själva en lugn och enkel väg tillbaka in nästa gång...
...om du inte gör dig besväret att leta och förstöra de fällor de lämnade efter sig den här gången.
Läs mer om Sophos Managed Threat Response här:
Sophos MTR – Expertledd respons ▶
24/7 hotjakt, upptäckt och respons ▶
