هکرها از گواهینامه های دزدیده شده انویدیا برای مخفی کردن بدافزارها استفاده می کنند

به گفته محققان امنیتی، گواهی‌های امضای کد Nvidia که از هک اخیر سازنده تراشه استخراج شده‌اند، برای اهداف بدافزار استفاده می‌شوند.

گروه هک LAPSUS$ اخیرا ادعا کرده است که 1 ترابایت داده از Nvidia را به سرقت برده است. اکنون، اطلاعات حساس در قالب دو گواهی امضای کد به صورت آنلاین ظاهر شده است که توسط توسعه دهندگان انویدیا برای امضای درایورهای خود استفاده می شود.

همانطور که توسط BleepingComputer گزارش شده است ، گواهینامه های امضای به خطر افتاده به ترتیب در سال های 2014 و 2018 منقضی شده اند. با این حال، ویندوز همچنان به درایورها اجازه می دهد تا با این گواهینامه ها مجوز بگیرند. در نتیجه، بدافزارها می توانند توسط آنها پوشانده شوند تا قابل اعتماد به نظر برسند، و متعاقباً راه را برای باز شدن درایورهای مضر در رایانه شخصی ویندوزی بدون شناسایی هموار می کنند.

انواع خاصی از بدافزارها که با گواهینامه های انویدیا فوق الذکر امضا شده بودند، در VirusTotal، یک سرویس اسکن بدافزار، کشف شدند. نمونه‌هایی که آپلود شدند نشان دادند که از آنها برای امضای ابزارهای هک و بدافزارها، از جمله Cobalt Strike Beacon، Mimikatz، درهای پشتی و تروجان‌های دسترسی از راه دور استفاده می‌شود.

یک فرد توانست از یکی از گواهی ها برای امضای یک تروجان دسترسی از راه دور Quasar استفاده کند. در مورد دیگری، یک درایور ویندوز با گواهی امضا شد، که منجر به این شد که 26 فروشنده امنیتی فایل را تا زمان نگارش این مقاله به عنوان مخرب علامت گذاری کنند .

BleepingComputer می گوید که برخی از فایل ها به احتمال زیاد توسط محققان امنیتی در VirusTotal آپلود شده اند. همچنین شواهدی وجود دارد که به نظر می‌رسد نشان می‌دهد فایل‌های دیگری که توسط این سرویس بررسی شده‌اند توسط افراد و هکرهایی که مایل به انتشار بدافزار هستند آپلود شده‌اند. یکی از این فایل ها توسط 54 فروشنده امنیتی به عنوان مخرب پرچم گذاری شد .

هنگامی که یک عامل تهدید روش ادغام این گواهینامه های سرقت شده را کشف کرد، می تواند برنامه هایی بسازد که به نظر برنامه های رسمی Nvidia هستند. پس از باز شدن، درایورهای مخرب بر روی سیستم ویندوز بارگذاری می شوند.

دیوید وستون، مدیر امنیت سازمانی و سیستم عامل مایکروسافت، در مورد این وضعیت در توییتر اظهار نظر کرد. او اظهار داشت که یک ادمین می‌تواند سیاست‌های Windows Defender Application Control (WDAC) را پیکربندی کند تا مدیریت کند کدام درایور خاص Nvidia می‌تواند بر روی سیستم بارگذاری شود. با این حال، همانطور که BleepingComputer اشاره می کند، آشنایی با پیاده سازی WDAC یک ویژگی رایج در میان کاربران عادی ویندوز نیست.

بنابراین همه اینها در واقع برای کاربران ویندوز چه معنایی دارد؟ به طور خلاصه، کسانی که بدافزار ایجاد می کنند می توانند افرادی را با درایورهای مخرب که به راحتی قابل شناسایی نیستند، هدف قرار دهند. آنها معمولاً از طریق وب سایت های دانلود درایور جعلی چنین فایل هایی را از طریق Google پخش می کنند. با در نظر گرفتن این موضوع، هیچ درایوری را از وب سایت های مشکوک و غیر قابل اعتماد دانلود نکنید. در عوض، آنها را مستقیماً از وب سایت رسمی انویدیا دانلود کنید. در همین حال، مایکروسافت احتمالاً در حال کار بر روی لغو گواهینامه های مورد بحث است.

در جاهای دیگر، انتظار می رود LAPSUS$ یک پوشه سخت افزاری 250 گیگابایتی را که از هک Nvidia به دست آورده است، منتشر کند. در ابتدا تهدید کرد که اگر انویدیا نتواند درایورهای GPU خود را «از این پس و برای همیشه» کاملاً منبع باز کند، جمعه گذشته آن را در دسترس قرار خواهد داد. این گروه قبلاً کد DLSS اختصاصی Team Green را فاش کرده است ، در حالی که همچنین ادعا می کند که الگوریتم پشت محدود کننده استخراج رمزنگاری انویدیا را دزدیده است .