Potrdila za podpisovanje kode, ukleščena v napadu Nvidia, uporabljena za zlonamerno programsko opremo

Certifikati, ki pripadajo Nvidii, ki so bili ukradeni kot del kibernetskega napada na izdelovalca čipov konec februarja 2022, se trenutno uporabljajo za podpisovanje zlonamerne kode, da bi zlonamerno programsko opremo potisnili mimo avtomatizirane obrambe.

Zlonamerni paketi, podpisani s certifikati Nvidia, se uporabljajo za ciljanje na sisteme, ki temeljijo na Windows. Nvidia je bila konec februarja tarča združbe Lapsus$ ransomware in zadevna potrdila so bila izločena kot del napada. Skupni obseg napada Lapsus$ je znašal približno 1 TB podatkov, ki so bili črpani iz strežnikov proizvajalca čipov.

OS še vedno sprejema potrdila s potekom veljavnosti

Poleg ukradenih potrdil je Lapsus$ uspel ukrasti tudi sheme, gonilnike ter zgoščene podatke e-pošte in gesla, ki pripadajo več kot 70 tisoč zaposlenim v Nvidii.

Varnostni raziskovalci so nekaj dni po začetnem napadu na Twitterju poročali, da se ista potrdila uporabljajo za podpisovanje binarnih datotek, ki vsebujejo zlonamerno programsko opremo. Tovor, ki je uporabljal ukradena potrdila, je bil pozneje identificiran kot primerki Mimikatz , Cobalt Strike ter zlonamernih orodij za backdoor in oddaljeni dostop.

Čeprav so ukradena potrdila Nvidia potekla, so raziskovalci odkrili, da so še vedno uporabni za podpisovanje programske opreme, kot so gonilniki, ki bi se dobro namestili na računalnikih Windows.

Will Dormann, analitik ranljivosti pri CERT, in Kevin Beaumont sta delila serijske številke za zlorabljena potrdila Nvidia, ki so naslednje:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft ponuja tehnike za ublažitev

Microsoftov direktor za varnost podjetij in operacijskega sistema je tvitnil način za omejitev števila gonilnikov Nvidia, ki jih je dovoljeno nalagati v sistem, vendar je za to potrebno prilagoditi nastavitve v pravilnikih za nadzor aplikacij Windows Defender, kar ni ravno lahko ugotoviti za običajne uporabnikom doma, vendar bi moral biti še vedno v pomoč podjetjem in večjim omrežjem, ki imajo namensko osebje za varnost IT.

Kot del svojega napada na Nvidio je skupina izsiljevalske programske opreme Lapsus$ zahtevala, da proizvajalec čipov vse svoje gonilnike naredi odprtokodne, kar se očitno nikoli ne bo zgodilo. Hekerji so zagrozili, da bodo vir sami izdali, vendar je to še vedno samo grožnja.