Гийом Делурье, специалист по реверс-инжинирингу из французской компании Sogeti ESEC, смог разработать руткит, который позволяет менять содержимое прошивки в сетевых адаптерах. Основой для работы Делурье стало изучение прошивки в сетевых PCI-адаптерах компании Broadcom серии Ethernet NetExtreme.

Делурье в своей работе использовал публично доступную документацию и инструменты с открытым исходным кодом. В ходе своих исследований ему удалось раскрыть формат, который используется для хранения данных в постоянной EEPROM-памяти адаптера, а также проследить весь процесс начальной загрузки. Используя собранные сведения, Делурье разработал макет модифицированной прошивки и смог поместить ее в память адаптера. В результате созданный код стал работать на процессоре адаптера.

Стоит отметить, что открытие Делурье открывает совершенно новые возможности для злоумышленников. Например, такой руткит не обнаруживается в операционной системе, поскольку спрятан в недрах сетевого адаптера.

Делурье пояснил, что сетевая карта нуждается в прямом доступе к памяти (DMA – Direct Memory Access), чтобы обеспечить обмен фреймами передаваемых по сети данных между драйвером и адаптером. C точки зрения прошивки, все операции выполняются через специальные регистры сетевого процессора, причем некоторые из этих регистров не полностью документированы. В итоге злоумышленник может удаленно подключиться к модифицированному сетевому адаптеру, а затем получить доступ к ресурсам операционной системы через каналы DMA.