Сертифікати підпису коду защемлені під час атаки Nvidia, що використовується для зловмисного програмного забезпечення

Сертифікати, що належать Nvidia, які були викрадені в рамках кібератаки на виробника чіпів наприкінці лютого 2022 року, наразі використовуються для підписання шкідливого коду в спробі проштовхнути шкідливе програмне забезпечення повз автоматизовані засоби захисту.

Шкідливі пакети, підписані сертифікатами Nvidia, використовуються для націлювання на системи на базі Windows. Наприкінці лютого Nvidia була мішенню банди програм-вимагачів Lapsus$, і відповідні сертифікати були вилучені в рамках атаки. Загальний обсяг атаки Lapsus$ склав близько 1 ТБ даних, які викачуються із серверів виробника чіпів.

Сертифікати із закінченим терміном дії все ще приймаються ОС

Окрім вкрадених сертифікатів, Lapsus$ також вдалося вкрасти схеми, драйвери та хешовані дані електронної пошти та паролів, що належать понад 70 тисячам співробітників Nvidia.

Дослідники безпеки звернулися до Twitter через кілька днів після початкової атаки, повідомивши, що ті самі сертифікати використовувалися для підпису двійкових файлів, які містять шкідливе програмне забезпечення. Корисне навантаження, що використовує викрадені сертифікати, пізніше було ідентифіковано як екземпляри Mimikatz , Cobalt Strike , а також шкідливі інструменти бекдору та віддаленого доступу.

Незважаючи на те, що термін дії вкрадених сертифікатів Nvidia закінчився, дослідники виявили, що вони все ще можна використовувати для підписання програмного забезпечення, такого як драйвери, які могли б нормально розгортатися на машинах Windows.

Вілл Дорманн, аналітик уразливостей CERT, і Кевін Бомонт поділилися серійними номерами неправомірно використаних сертифікатів Nvidia, а саме:

43BB437D609866286DD839E1D00309F5

14781bc862e8dc503a559346f5dcc518

Microsoft пропонує методи пом'якшення

Директор Microsoft із безпеки підприємств та ОС написав у Твіттері спосіб обмежити кількість драйверів Nvidia, які дозволено завантажувати в систему, але для цього потрібно змінити налаштування в політиках керування програмами Windows Defender, що не зовсім легко зрозуміти для звичайних. користувачів вдома, але все одно має бути в нагоді підприємствам і великим мережам, які мають спеціальний персонал із захисту ІТ.

У рамках своєї атаки на Nvidia банда програм-вимагачів Lapsus$ висунула вимогу, щоб виробник чіпів зробив усі свої драйвери з відкритим кодом, чого, очевидно, ніколи не станеться. Хакери погрожували самі випустити джерело, але на даний момент це лише загроза.