07 март 2022

Napadači zloupotrebljavaju NVIDIA certifikate

Kompanija NVIDIA je pretrpila hakerski napad od strane napadača poznatih pod nazivom Lapsus$ u kojem su napadači uspjeli da ukradu oko 1TB podataka. Nakon što je kompanija NVIDIA odbila da pregovara sa napadačima, oni su počeli da objavljuju podatke na Internetu.

 

nVIDIA code signing certificates

Sada je nastao problem pošto su ukradena dva certifikata za digitalno potpisivanje koje kompanija NVIDIA koristi za svoje izvršne fajlove i upravljačke drajvere. Ovi certifikati omogućavaju programerima da potpišu izvršne fajlove i upravljačke drajvere kako bi krajnji korisnici na Windows operativnom sistemu mogli biti sigurni ko je proizvođač i da li je neko radio manipulacije sa istima. Uz to i Windows operativni sistem zahtjeva da upravljački drajveri na nivou sistemskog jezgra (eng. kernel-mode drivers) budu digitalno potpisani prije nego što ih operativni sistem učita.

 

Sigurnosni istraživači su otkrili, odmah po objavljivanju podatka kompanije NVIDIA, zlonamjerne softvere i druge alate potpisane  NVIDIA digitalnim certifikatima. Prema uzorcia na servisu VirusTotal, ukradeni certifikati su iskorišteni za digitalno potpisivanje zlonamjenog softvera ko što je Cobalt Strike, Mimikatz, Quasar RAT i drugi backdoor i RAT (remote access trojans) zlonamjerni softver.

 

Quasar RAT signed by NVIDIA certificate
Quasar RAT potpisan NVIDIA certifikatom; Source: BleepingComputer

Iako su oba NVIDIA certifikata istekla, Windows će dopustiti njihovo pokretanje unutar operativnog sistema. Na ovaj način će ovi certifikati omogućiti napadačima određenu prednost, jer će njihov zlonamjerni softver biti prepoznat kao NVIDIA softver i biti učitan od stane Windows operativnog sistema.

 

Kako bi se korisnici zaštitili iz kompanije Microsoft predlažu da se iskoristi Windows Defender Application Control pravila kojim će se definisati koji NVIDIA softver može biti pokrenut. Ovo može bit priličan izazov za korisnike koji nisu IT profesionalci. Postoji i opcija da kompanija Microsoft izvrši opoziv certifikata, međutim to bi značilo da će se zaustaviti i sav legitimni softver kompanije NVIDIA što možda i nije opcija.

Razbijanje Sajber Mitova #3/22

Razbijanje Sajber Mitova #3/22; Design by Saša Đurić Ne možeš vjerovati svemu što pročitaš na Internetu: Tačno! Interne je pun zavjera,...