אישורי חתימת קוד נצבטו בהתקפת Nvidia בשימוש עבור תוכנה זדונית

אישורים השייכים ל-Nvidia שנגנבו כחלק מהתקפת הסייבר על יצרנית השבבים בסוף פברואר 2022 משמשים כעת לחתימה על קוד זדוני, בניסיון לדחוף תוכנות זדוניות מעבר להגנות אוטומטיות.

החבילות הזדוניות החתומות עם אישורי Nvidia משמשות למיקוד מערכות מבוססות Windows. Nvidia הייתה מטרה על ידי כנופיית תוכנת הכופר של Lapsus$ בסוף פברואר והאישורים המדוברים הוצאו כחלק מהמתקפה. נפח הסיכום של מתקפת Lapsus$ הסתכם בסביבות 1TB של נתונים שנאספו משרתי יצרנית השבבים.

אישורים שפג תוקפם עדיין מקובלים על ידי מערכת ההפעלה

בנוסף לתעודות הגנובות, Lapsus$ הצליח גם לגנוב שרטוטים, מנהלי התקנים ונתוני אימייל וסיסמא ששייכים ליותר מ-70 אלף עובדי Nvidia.

חוקרי אבטחה פנו לטוויטר מספר ימים לאחר המתקפה הראשונית, ודיווחו כי נעשה שימוש באותם אישורים לחתימה על קבצים בינאריים המכילים תוכנות זדוניות. המטענים המשתמשים בתעודות הגנובות זוהו מאוחר יותר כמקרים של Mimikatz , Cobalt Strike וכלים זדוניים בדלת אחורית ובגישה מרחוק.

למרות שפג תוקפם של תעודות ה-Nvidia הגנובות, חוקרים גילו שהם עדיין ניתנים לשימוש עבור תוכנות חתימה כגון מנהלי התקנים שיפרוסו היטב במחשבי Windows.

וויל דורמן, מנתח פגיעות ב-CERT, וקווין ביומונט שיתפו את המספרים הסידוריים של תעודות Nvidia שנעשה בהן שימוש לרעה, שהם כדלקמן:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

מיקרוסופט מציעה טכניקות הפחתה

מנהל האבטחה הארגונית ומערכת ההפעלה של מיקרוסופט צייץ דרך להגביל את מה שמנהלי התקנים של Nvidia רשאים לטעון על המערכת, אבל לעשות זאת דורש שינוי הגדרות במדיניות הבקרה של יישומי Windows Defender, וזה לא בדיוק דבר שקל להבין עבור רגיל משתמשים בבית, אך עדיין צריכים לסייע לעסקים ולרשתות גדולות יותר שיש להם צוות אבטחת IT ייעודי.

כחלק מהתקפתה על Nvidia, כנופיית תוכנת הכופר של Lapsus$ העלתה דרישה שיצרנית השבבים תהפוך את כל הדרייברים שלה לקוד פתוח, דבר שלעולם לא יקרה. ההאקרים איימו לשחרר את המקור בעצמם, אבל זה עדיין רק איום בשלב זה.