Hakeri koriste ukradene NVIDIA sertifikate za potpisivanje Windows malvera

 
25. februara je objavljeno da je NVIDIA pogođena sajber-napadom. Ransomware grupa LAPSUS$ preuzela je odgovornost za napad sledećeg dana, ali je takođe tvrdila da im je NVIDIA uzvratila sopstvenim ransomverom. Međutim, čini se da NVIDIA-in kontraudar nije onemogućio LAPSUS$ pristup podacima koje je ukrao niti ih je odvratio da nastave da prete objavljivanjem IP adresa i drugih vlasničkih informacija.LAPSUS$ je ukrao 1TB podataka sa NVIDIA servera i još 204GB podataka od Samsunga. Ovi ukradeni podaci uključuju odgovarajući izvorni kod, a potpuno curenje ovih podataka moglo bi biti pogubno i za NVIDIA i za Samsung. LAPSUS$ je objavio samo 20 GB od navodnih 1TB NVIDIA podataka, a ovo relativno mala količina objavljenih podataka se već pokazala štetnom, ne samo za NVIDIA kao kompaniju, već i za njene zaposlene i za sada nepovezane žrtve malvera.
 
Pogledajte još: NVIDIA potvrdila da su hakeri ukrali intelektualnu svojinu dok se DLSS izvorni kod deli po mreži
Objava od 20 GB uključuje dva NVIDIA sertifikata za potpisivanje koda. Ovi sertifikati se koriste za potpisivanje drajvera i izvršnih programa, potvrđujući da pomenute datoteke potiču od NVIDIA-e i da nisu ubrizgane zlonamernim kodom od treće strane. Ova dva sertifikata su istekla i važili su od 2011. do 2014. i 2015. do 2018. Međutim, Windows i dalje prihvata istekle sertifikate za drajvere, čineći ove sertifikate funkcionalno validnim.Istraživači bezbednosti su već otkrili više slučajeva malvera koji je potpisan procurelim NVIDIA sertifikatom. Sertifikat omogućava malveru da se maskira kao legitiman NVIDIA softver, zaobilazeći važne Windows zaštite od zlonamernog softvera.
 
Pogledajte još: Samsung potvrdio da su im hakeri kompromitovali sisteme i ukrali Galaxy izvorni kod
Nadamo se da će Microsoft odgovoriti na zlonamernu zloupotrebu ovih nelegitimnih sertifikata tako što će ih dodati na svoju listu opoziva sertifikata, ali bi to moglo da blokira legitimne NVIDIA drajvere. Stoga će možda trebati neko vreme pre nego što vidimo da ovi objavljeni sertifikati gube svoju funkcionalnu validnost, a u međuvremenu, loši momci će nastaviti da koriste procurele sertifikate za učitavanje malvera na Windows mašine.Za sada, Dejvid Veston, potpredsednik za bezbednost kompanije i operativnih sistema u Microsoftu, ima niz na Tviteru o tome kako koristiti smernice za kontrolu aplikacija Windows Defendera da ograniči koje NVIDIA drajvere Windows može da učita. Florijan Rot, inženjer za detekciju, takođe je kreirao pravilo za YARA, alatku za otkrivanje zlonamernog softvera otvorenog koda, koja otkriva dva NVIDIA sertifikata koja su objavljena od strane hakerske grupe, javlja HotHardware.
 
Benchmark možete pratiti i na društvenim mrežama | Facebook | Twitter | Instagram | YouTube |Na Benchmark forumu uvek možete učestvovati u kvalitetnim i aktuelnim diskusijama iz IT industrije