Нарушение Nvidia может помочь киберпреступникам проводить вредоносные кампании


кибербезопасность
Изображение: Getty Pictures/iStockphoto

Ни одна компания не застрахована от киберпреступников. Недавно настала очередь Nvidia быть скомпрометированной, и злоумышленники утекли много корпоративной информации, в том числе учетные данные более 70 000 сотрудников и два сертификата цифровой подписи.

Требование выкупа и утечка

В пятницу, 28 февраля, группа киберпреступников «Lapsus$» объявила через свой канал Telegram, что она скомпрометировала Nvidia и украла около 1 ТБ данных — и потребовала выкуп, который вы не видите каждый день: она попросила Nvidia разрешить опять LHR во всех своих прошивках(Рисунок А).

Рисунок А

нвидиа выкуп
Требование выкупа от киберпреступников. Источник: Телеграм

LHR, что означает Lite Hash Fee, — это новая функция, которую Nvidia представила в своих графических картах, чтобы уменьшить возможности этих карт для майнинга криптовалюты. Цель этой функции — помешать людям покупать эти карты для майнинга криптовалюты и вместо этого иметь все акции для геймеров.

Lapsus$ выпустила первый архив, содержащий файлы, в том числе 71 335 адресов электронной почты и связанных с ними хеш-паролей NTLM от Nvidia, что подтвердило утечку и сообщило, что все ее сотрудники были обязаны сменить свои пароли.

Однако утечка содержала не только учетные данные, но также исходный код и дополнительные данные, в том числе два цифровых сертификата для подписи кода.

ВИДЕТЬ: Рейтинг будущих преступлений с использованием ИИ: дипфейки, целевой фишинг и многое другое (ТехРеспублика)

Что такое сертификат подписи кода и почему он так важен?

Сертификат для подписи кода позволяет разработчику программного обеспечения или компании ставить цифровую подпись на исполняемые файлы. Таким образом, это гарантирует, что код не был изменен или поврежден. Этот тип цифровой подписи основан на криптографическом хеше для проверки подлинности и целостности данных. Его нельзя подделать.

Но что произойдет, если кто-то получит сертификат для подписи кода компании-разработчика программного обеспечения? Короче говоря, ответ пугает: любой исполняемый файл может быть подписан этим сертификатом, что делает его полностью законным для операционной системы и ее пользователей. Таким образом, вредоносное ПО может более эффективно скрываться в системе, не вызывая никаких предупреждений при запуске.

Кража сертификата подписи кода — чаще, чем вы думаете

Сертификаты подписи кода являются важными активами, которые необходимо тщательно защищать. Тем не менее компрометация сертификатов подписи — это старый метод, который в прошлом использовался несколькими киберпреступниками для подписи своих вредоносных программ. Хорошим примером является вредоносное ПО Stuxnet, которое использовало два разных украденных сертификата для своих разных версий.

Что касается кибершпионажа, кража цифровых сертификатов для подписи вредоносного ПО также является относительно распространенным явлением. Несколько злоумышленников использовали этот метод в прошлом и используют до сих пор. Подписание вредоносного ПО Plead, используемого в кибершпионаже, является одним из примеров, но есть и другие.

Кража сертификатов цифровой подписи у компаний-разработчиков программного обеспечения кажется достаточно привлекательной для некоторых злоумышленников, которые продемонстрировали способность быстро развертывать вредоносное ПО, подписанное сертификатами разных законных компаний.

SEE: Деструктивное вредоносное ПО HermeticWiper атакует Украину (TechRepublic)

Украденные сертификаты подписи Nvidia

В случае с Nvidia стало известно, что произошла утечка как минимум двух разных сертификатов. Срок действия этих сертификатов истек (цифровые сертификаты не вечны, у них есть срок действия), но их все еще можно использовать для подписи файлов. Причина этого кроется в политике подписи драйверов Microsoft, в которой говорится, что операционная система будет запускать драйверы, «подписанные сертификатом конечного объекта, выпущенным до 29 июля 2015 года, который связан с поддерживаемым ЦС с перекрестной подписью».

Вскоре после публикации утечки на VirusTotal появились исполняемые файлы, подписанные этими двумя цифровыми сертификатами. Хотя первые отправленные файлы, вероятно, были просто тестами исследователей и гиков, также были обнаружены некоторые настоящие вредоносные программы, такие как вариант Quasar RAT и вариант программы-вымогателя Ryuk.

Администраторы могут заблокировать эти два сертификата в системах своей компании, но все зависит от того, какое программное обеспечение они используют.

Два просочившихся сертификата:

Название: Корпорация NVIDIA

Состояние: этот сертификат или один из сертификатов в цепочке сертификатов недействителен по времени.

Эмитент: VeriSign Magnificence 3 Code Signing 2010 CA

Действителен с: 02:00 09/02/2011

Действительно до: 23:59 01.09.2014

Допустимое использование: Подписание кода

Алгоритм: sha1RSA

Отпечаток: 579AEC4489A2CA8A2A09DF5DC0323634BD8B16B7

Серийный номер: 43 BB 43 7D 60 98 66 28 6D D8 39 E1 D0 03 09 F5

Название: Корпорация NVIDIA

Состояние: этот сертификат или один из сертификатов в цепочке сертификатов недействителен по времени.

Эмитент: VeriSign Magnificence 3 Code Signing 2010 CA

Действителен с: 00:00 28.07.2015

Действительно до: 23:59 26.07.2018

Допустимое использование: Подписание кода

Алгоритм: sha1RSA

Отпечаток: 30632EA310114105969D0BDA28FDCE267104754F

Серийный номер: 14 78 1B C8 62 E8 DC 50 3A 55 93 46 F5 DC C5 18

Что можно сделать с этими сертификатами?

Пользователи могут использовать политики управления приложениями Защитника Home windows (WDAC), чтобы контролировать, какие драйверы Nvidia могут быть загружены, но это довольно сложный процесс настройки. Microsoft, вероятно, предоставит пользовательские обновления для отзыва украденных сертификатов, но это может быть проблематично, поскольку некоторые старые законные драйверы Nvidia также подписаны этими сертификатами и могут вызывать ошибки.

Что делать при утечке данных из вашей компании

Утечка Nvidia содержит много разных типов данных. Первым шагом, конечно же, является немедленное изменение пароля всеми пользователями и добавление двухфакторной аутентификации (2FA), если она еще не развернута, в качестве дополнительной меры безопасности.

В случае утечки исходного кода нужно срочно перекрыть доступ к платформам/серверам разработки, чтобы мошенник не смог им злоупотребить, и проверить целостность серверов.

Если код просочился на GitHub или подобное стороннее лицо, свяжитесь с ними, чтобы удалить его как можно скорее.

Кроме того, проверьте и измените все пароли, ключи API и любые токены, которые могут использоваться в коде. Если из вашей компании произошла утечка цифрового сертификата, отключите его как можно скорее.

Раскрытие: Я работаю в Pattern Micro, но мнения, выраженные в этой статье, принадлежат мне.

https://cyberxhack.org/