Среди файлов, похищенных при недавнем взломе внутренних серверов NVIDIA, оказались и сертификаты подписи кода компании. Судя по базе данных VirusTotal, на этой неделе были обнаружены уже как минимум два бинарных файла с такой подписью, не имеющих никакого отношения к самой NVIDIA.
Источник изображения: nvidia.com
Это означает, что системным администраторам рекомендуется немедленно принять меры по защите подконтрольных машин, чтобы любой подписанный мошенническими сертификатом код своевременно обнаруживался и блокировался, поскольку велика вероятность того, что он окажется вредоносным. Как уточнил специалист по кибербезопасности Билл Демиркапи (Bill Demirkapi), Windows без проверки будет принимать драйверы, подписанные сертификатами, которые были выпущены до 29 июля 2015 года — это подтверждает документация Microsoft.
Похищенный у NVIDIA сертификат подпадает под эту категорию — он истёк ещё в 2014 году. На отправленный британским изданием The Register запрос по данной ситуации в Microsoft ответили, что изучают эти сообщения и сделают всё необходимое для защиты пользователей. Глава компании Infosec Кевин Бомон (Kevin Beaumont) отметил, что некоторые энтузиасты специально подписывали собственный код данным сертификатом и отправляли его в VirusTotal, чтобы проверить реакцию антивирусных программ. Впрочем, как выяснилось, большинство антивирусов уже распознаёт похищенный у NVIDIA сертификат как мошеннический и блокирует запуск подписанного им кода.
Напомним, что хакерам группировки Lapsus$ удалось похитить с внутренних серверов NVIDIA большой объём данных, и теперь производитель подвергается шантажу: злоумышленники требуют снятия LHR-защиты (Lite Hash Rate) с видеокарт серии RTX 30, из-за которой они оказываются менее привлекательными для майнеров. Киберпреступники требуют также открытия исходного кода драйверов под Mac, Linux и Windows. Но едва ли NVIDIA поддастся на угрозы шантажистов. Тем более, что компания и сама не робкого десятка.
Источник: 3DNews