Хакеры используют украденные сертификаты Nvidia для сокрытия вредоносных программ
По словам исследователей безопасности, сертификаты подписи кода Nvidia, полученные в результате недавнего взлома производителя чипов, используются для вредоносных программ.
Хакерская группа LAPSUS$ недавно заявила, что украла 1 ТБ данных у Nvidia. Теперь конфиденциальная информация появилась в сети в виде двух сертификатов для подписи кода, которые разработчики Nvidia используют для подписи своих драйверов.
Как сообщает BleepingComputer , срок действия скомпрометированных сертификатов подписи истек в 2014 и 2018 годах соответственно. Однако Windows по-прежнему разрешает авторизацию драйверов с помощью этих сертификатов. В результате они могут маскировать вредоносные программы, чтобы они выглядели заслуживающими доверия, что впоследствии открывает путь для открытия вредоносных драйверов на ПК с Windows без обнаружения.
Некоторые варианты вредоносного ПО, подписанные вышеупомянутыми сертификатами Nvidia, были обнаружены в VirusTotal, сервисе сканирования вредоносных программ. Загруженные образцы показали, что они использовались для подписи хакерских инструментов и вредоносных программ, включая Cobalt Strike Beacon, Mimikatz, бэкдоры и трояны удаленного доступа.
Один человек смог использовать один из сертификатов, чтобы подписать троян удаленного доступа Quasar . В другом случае драйвер Windows был подписан сертификатом, в результате чего на момент написания этой статьи 26 поставщиков систем безопасности пометили файл как вредоносный .
BleepingComputer говорит, что некоторые файлы, по всей вероятности, могли быть загружены в VirusTotal исследователями безопасности. Есть также доказательства того, что другие файлы, проверенные службой, были загружены отдельными лицами и хакерами, желающими распространять вредоносное ПО; один такой файл был помечен как вредоносный 54 поставщиками средств защиты .
Как только злоумышленник обнаружит способ интеграции этих украденных сертификатов, он сможет создавать программы, которые выглядят как официальные приложения Nvidia. После открытия вредоносные драйверы будут загружены в систему Windows.
Дэвид Уэстон, директор по корпоративной безопасности и безопасности ОС в Microsoft, прокомментировал ситуацию в Twitter. Он заявил , что администратор сможет настраивать политики управления приложениями Защитника Windows (WDAC), чтобы управлять тем, какой конкретный драйвер Nvidia можно загружать в систему. Однако, как указывает BleepingComputer, знакомство с реализацией WDAC не является обычной чертой среди среднего пользователя Windows.
Так что же все это на самом деле означает для пользователей Windows? Короче говоря, те, кто создает вредоносные программы, могут нацеливаться на людей с вредоносными драйверами, которые нелегко обнаружить. Обычно они распространяют такие файлы через Google через поддельные веб-сайты загрузки драйверов. Имея это в виду, не загружайте драйверы с подозрительных и ненадежных веб-сайтов. Вместо этого загрузите их прямо с официального сайта Nvidia. Тем временем Microsoft, вероятно, работает над отзывом соответствующих сертификатов.
Ожидается, что LAPSUS$ выпустит аппаратную папку размером 250 ГБ, полученную в результате взлома Nvidia. Первоначально он угрожал сделать его доступным в прошлую пятницу, если Nvidia не сможет сделать свои драйверы графического процессора полностью открытым исходным кодом «отныне и навсегда». Группа уже слила проприетарный код DLSS Team Green , а также утверждает, что украла алгоритм, лежащий в основе ограничителя крипто-майнинга Nvidia .