Certyfikaty do podpisywania kodu złapane podczas ataku Nvidia używanego do złośliwego oprogramowania

Certyfikaty należące do Nvidii, które zostały skradzione w ramach cyberataku na producenta chipów pod koniec lutego 2022 r., są obecnie wykorzystywane do podpisywania szkodliwego kodu w celu przepchnięcia szkodliwego oprogramowania przez automatyczne mechanizmy obronne.

Złośliwe pakiety podpisane certyfikatami Nvidii są wykorzystywane do atakowania systemów opartych na systemie Windows. Nvidia stała się celem gangu oprogramowania ransomware Lapsus$ pod koniec lutego, a przedmiotowe certyfikaty zostały wykradzione w ramach ataku. Sumaryczna wielkość ataku Lapsus$ wyniosła około 1 TB danych wyprowadzonych z serwerów producenta chipów.

Wygasłe certyfikaty nadal akceptowane przez system operacyjny

Oprócz skradzionych certyfikatów Lapsus$ zdołał również wykraść schematy, sterowniki oraz zahaszowane dane e-maili i haseł należących do ponad 70 tysięcy pracowników Nvidii.

Badacze bezpieczeństwa weszli na Twittera kilka dni po pierwszym ataku, informując, że te same certyfikaty były używane do podpisywania plików binarnych zawierających złośliwe oprogramowanie. Ładunki wykorzystujące skradzione certyfikaty zostały później zidentyfikowane jako instancje Mimikatz, Cobalt Strike oraz złośliwe narzędzia typu backdoor i zdalny dostęp.

Mimo że skradzione certyfikaty Nvidii straciły ważność, badacze odkryli, że nadal nadają się do podpisywania oprogramowania, takiego jak sterowniki, które dobrze by się instalowały na komputerach z systemem Windows.

Will Dormann, analityk podatności w CERT, i Kevin Beaumont udostępnili następujące numery seryjne niewłaściwie używanych certyfikatów Nvidii:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft oferuje techniki łagodzenia

Dyrektor firmy Microsoft ds. bezpieczeństwa przedsiębiorstw i systemu operacyjnego zamieścił na Twitterze sposób na ograniczenie liczby sterowników Nvidii, które mogą ładować w systemie, ale wymaga to dostosowania ustawień w zasadach kontroli aplikacji Windows Defender, co nie jest łatwe do wymyślenia w przypadku regularnych użytkowników w domu, ale nadal powinna być pomocna dla firm i większych sieci, które mają dedykowany personel ds. bezpieczeństwa IT.

W ramach ataku na Nvidię gang oprogramowania ransomware Lapsus$ zażądał, aby producent chipów udostępnił wszystkim swoim sterownikom oprogramowanie typu open source, co oczywiście nigdy się nie wydarzy. Hakerzy zagrozili, że sami uwolnią źródło, ale na razie jest to tylko zagrożenie.