Создатели вредоносного ПО начали подписывать зловреды украденными сертификатами Code Signing NVIDIA
По информации Bleeping Computer, создатели вредоносного ПО начали подписывать зловреды украденными сертификатами Code Signing от NVIDIA.
Защитные системы (корпоративное уровня и антивирусы пользователей) пропускают такое вредоносное ПО, так как считает его заслуживающих доверия (они подписаны валидным сертификатом разработчика) и позволяют получать привилегированный доступ в ОС Windows.
Эксперты обнаружили в утечке NVIDIA минимум два украденных сертификата Code Signing, которые разработчики NVIDIA использовали для подписи своих драйверов и исполняемых файлов. Подписанным данными сертификатами исполняемые файлы и драйвера, работающие на уровне ядра, ОС Windows считает не опасными и разрешает запускать в системе без уведомления пользователя.
Bleeping Computer пояснила, что, согласно данным сервиса VirusTotal, сертификаты Code Signing NVIDIA были использованы для подписи кода авторами различных вредоносных программ и хакерских инструментов, включая модификации зловредов Cobalt Strike, Mimikatz, бэкдоров и троянов для организации незаметного удаленного доступа к системе с административными правами. Также вредоносы есть в некоторых доработаных драйверах, размещенных на сторонних ресурсах, но подписанных NVIDIA.
Примечательно, что злоумышленники используют сертификаты NVIDIA с истекшим сроком действия, но Windows по-прежнему разрешает загрузку и запуск драйверов, подписанных с помощью таких сертификатов.
Таким образом, используя эти украденные сертификаты, злоумышленники получают преимущество в том, что их программы выглядят как законные программы NVIDIA и позволяют Windows загружать вредоносные драйверы и запускать зараженные исполняемые файлы.
ИБ-специалисты советуют использовать дополнительные способ защиты от установки зараженных драйверов. Например, администраторы могут настроить политики управления приложениями в Windows Defender (WDAC), чтобы контролировать, какие драйверы NVIDIA могут быть загружены. Также они настоятельно не рекомендуют устанавливать драйвера NVIDIA из неизвестных источников и обязательно проверять их перед установкой в антивирусных средах, например, путем анализа через VirusTotal.
Проблема в том, что украденные сертификаты в скором времени могут быть добавлены в список отзыва сертификатов Microsoft, чтобы предотвратить загрузку вредоносных драйверов в Windows. Однако, из-за этого могут пострадать обычные пользователи. Это также приведет к блокировке ранее установленных правильных драйверов NVIDIA и неправильной работе ОС Windows.
26 февраля NVIDIA начала расследование кибератаки на свои системы. В ее ходе были похищены 71 тыс. учетных данных сотрудников компании.
Позже стало известно, что хакеры LAPSU$ взломали внутреннюю сеть NVIDIA и скопировали более 1 ТБ критичных данных компании. NVIDIA пыталась хакнуть хакеров и зашифровать скопированные конфиденциальные данные для предотвращения их распространения. Ей почти удалось это сделать, но хакерам помог бекап. После этого хакеры начать распространять части утечки в закрытом сообществе. Например, они опубликовали исходный код драйверов NVIDIA.
28 февраля хакеры из LAPSU$ рассказали, что в украденных данных NVIDIA есть драйверы, схемы, прошивки и алгоритм для ограничителя хеширования RTX 30. Они начали распространять часть утечки в открытом доступе.
2 марта хакеры потребовали от NVIDIA сделать драйверы GeForce для Windows, macOS и Linux открытым ПО под свободной лицензией. Если компания не сделает это до 4 марта, то хакеры опубликуют в открытом доступе конфиденциальные разработки компании: полные спецификации чипсетов, их схемы, дизайн текущих и новых GPU от NVIDIA, а также Verilog-файлы RTX 3090 Ti.
Вдобавок, хакеры из LAPSU$ выставили на продажу за $1 млн данные по алгоритму для ограничителя хеширования RTX 30 из утечки NVIDIA. Они утверждают, что с помощью этой информации можно сделать инструмент для обхода ограничителя майнинга для карт с пониженным в два раза хэшрейтом Ethereum для чипов GA102 и GA104 на архитектуре Ampere. Хакеры пояснили, что убрать ограничение майнинга можно будет программно и без замены прошивки биоса видеокарт, а код для нейтрализации антимайнерского инструмента NVIDIA можно будет встроить во все современные майнеры.