Certifikáty pro podepisování kódu sevřené v útoku Nvidia používaném pro malware
Certifikáty patřící společnosti Nvidia, které byly ukradeny v rámci kybernetického útoku na výrobce čipů na konci února 2022, se v současné době používají k podepisování škodlivého kódu ve snaze vytlačit malware přes automatizovanou obranu.
Škodlivé balíčky podepsané certifikáty Nvidia se používají k cílení na systémy založené na Windows. Nvidia byla koncem února terčem ransomwarového gangu Lapsus$ a dotyčné certifikáty byly v rámci útoku exfiltrovány. Souhrnný objem útoku Lapsus$ činil přibližně 1 TB dat vysátých ze serverů výrobce čipů.
OS stále přijímá certifikáty s prošlou platností
Kromě ukradených certifikátů se Lapsus$ také podařilo ukrást schémata, ovladače a e-mailová a heslová data patřící více než 70 tisícům zaměstnanců Nvidie.
Bezpečnostní výzkumníci přišli na Twitter několik dní po prvním útoku a oznámili, že stejné certifikáty byly používány k podepisování binárních souborů, které obsahují malware. Užitné části využívající odcizené certifikáty byly později identifikovány jako instance Mimikatz , Cobalt Strike a škodlivých nástrojů pro zadní vrátka a vzdálený přístup.
I když platnost odcizených certifikátů Nvidia vypršela, výzkumníci zjistili, že jsou stále použitelné pro podepisování softwaru, jako jsou ovladače, které by se daly nasadit na počítače se systémem Windows.
Will Dormann, analytik zranitelnosti v CERT, a Kevin Beaumont sdíleli sériová čísla zneužitých certifikátů Nvidia, která jsou následující:
43BB437D609866286DD839E1D00309F5
14781bc862e8dc503a559346f5dcc518
Microsoft nabízí zmírňující techniky
Ředitel pro podnikové zabezpečení a zabezpečení operačního systému Microsoftu tweetoval způsob, jak omezit to, co mohou ovladače Nvidia načítat do systému, ale to vyžaduje vyladění nastavení v zásadách ovládání aplikací Windows Defender, což není úplně snadné zjistit pro běžné uživatelům doma, ale stále by měly být nápomocny podnikům a větším sítím, které mají vyhrazený personál pro bezpečnost IT.
V rámci svého útoku na Nvidii vznesl gang Lapsus$ ransomware požadavek, aby výrobce čipů vytvořil všechny své ovladače jako open source, což se zjevně nikdy nestane. Hackeři pohrozili, že zdroj sami uvolní, ale v tuto chvíli je to stále jen hrozba.