Kodo pasirašymo sertifikatai, suspausti per Nvidia ataką, naudojami kenkėjiškoms programoms

„Nvidia“ priklausantys sertifikatai, kurie buvo pagrobti 2022 m. vasario mėn. pabaigoje vykdant kibernetinę ataką prieš lustų gamintoją, šiuo metu naudojami kenkėjiškam kodui pasirašyti, siekiant užkirsti kelią kenkėjiškoms programoms per automatinę apsaugą.

Kenkėjiški paketai, pasirašyti su „Nvidia“ sertifikatais, naudojami „Windows“ sistemoms nukreipti. Vasario pabaigoje „Nvidia“ buvo nusitaikęs į „ Lapsus$“ išpirkos reikalaujančių programų gaują , o minėti sertifikatai buvo išfiltruoti kaip atakos dalis. Apibendrinta Lapsus$ atakos apimtis sudarė apie 1 TB duomenų, gautų iš lustų gamintojo serverių.

OS vis dar priima sertifikatus, kurių galiojimo laikas pasibaigęs

Be pavogtų sertifikatų, Lapsus$ taip pat sugebėjo pavogti schemas, tvarkykles ir elektroninio pašto bei slaptažodžių maišos duomenis, priklausančius daugiau nei 70 tūkstančių Nvidia darbuotojų.

Praėjus kelioms dienoms po pirminės atakos, saugumo tyrinėtojai socialiniame tinkle „Twitter“ pranešė, kad tie patys sertifikatai buvo naudojami pasirašyti dvejetainius failus, kuriuose yra kenkėjiškų programų. Naudingi kroviniai, naudojantys pavogtus sertifikatus, vėliau buvo nustatyti kaip „ Mimikatz “, „ Cobalt Strike “ ir užpakalinių durų bei nuotolinės prieigos kenkėjiškų įrankių pavyzdžiai.

Nors pavogtų „Nvidia“ sertifikatų galiojimo laikas baigėsi, mokslininkai išsiaiškino, kad juos vis dar galima naudoti pasirašant programinę įrangą, pvz., tvarkykles, kurios puikiai įdiegtų „Windows“ įrenginiuose.

Willas Dormannas, CERT pažeidžiamumo analitikas, ir Kevinas Beaumontas pasidalino netinkamai panaudotų „Nvidia“ sertifikatų serijos numeriais, kurie yra tokie:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

„Microsoft“ siūlo švelninimo metodus

„Microsoft“ įmonių ir OS saugos direktorius „Twitter“ paskelbė būdą, kaip apriboti, ką „Nvidia“ tvarkyklės gali įkelti į sistemą, tačiau norint tai padaryti, reikia pakoreguoti „Windows Defender“ programų valdymo politikos parametrus, o tai nėra lengva išsiaiškinti reguliariai. vartotojų namuose, bet vis tiek turėtų padėti įmonėms ir didesniems tinklams, turintiems tam skirtus IT saugos darbuotojus.

Atakuodama „Nvidia“, „Lapsus$“ išpirkos reikalaujančių programų gauja pareikalavo, kad lustų gamintojas padarytų visas savo tvarkykles atvirojo kodo, o tai akivaizdžiai niekada neįvyks. Įsilaužėliai grasino patys paskelbti šaltinį, tačiau šiuo metu tai tebėra grėsmė.