هکرها از گواهینامههای سرقتشده انویدیا برای مخفیکردن بدافزارها استفاده میکنند
گروه هکری LAPSUS$ بهتازگی اعلام کرده است که یک ترابایت اطلاعات محرمانه از انویدیا دزیده است. اکنون این اطلاعات حساس در قالب دو گواهی امضای کد بهصورت آنلاین دردسترس قرار گرفته است؛ گواهینامههایی که توسعهدهندگان برای نصب درایورهای محصولات این شرکت استفاده میکنند.
بهگزارش دیجیتالترندز، BleepingComputer اعلام کرده است گواهینامههایی که در این حملهی سایبری بهخطر افتادهاند، بهترتیب در سالهای ۲۰۱۴ و ۲۰۱۸ منقضی شدهاند. بااینحال، ویندوز همچنان به درایورها اجازه میدهد با این گواهیها مجوز لازم را برای اجراشدن روی سیستم دریافت کنند و درنتیجه، بدافزارها میتوانند با بهرهگرفتن از این گواهیها خود را بهعنوان نرمافزاری مطمئن به ویندوز معرفی کنند. این اقدام نهایتاً راه را برای فعالکردن بدافزارها در ویندوز فراهم میکند.
انواع خاصی از بدافزارها که با گواهینامههای انویدیا امضا شده بودند، در وبسایت ویروس توتال (VirusTotal)، سرویس بررسی بدافزار، کشف شدند. نمونههایی که در این سرویس آپلود شدهاند، نشان میدهد که از گواهیهای انویدیا برای امضای ابزارهای هک و بدافزارها ازجمله Mimikatz، Cobalt Strike Beacon و تروجانهای دسترسی راه دور استفاده شده است. در همین زمینه، شخصی موفق شده است از این گواهیها برای امضای تروجان دسترسی راه دور استفاده کند.
BleepingComputer اعلام کرده است برخی از فایلها را بهاحتمال زیاد محققان امنیتی ویروس توتال آپلود کردهاند. همچنین، شواهدی وجود دارد که ظاهراً نشان میدهد فایلهای دیگری که این سرویس بررسی کرده است، افراد و هکرهایی آپلود کردهاند که مایل به انتشار بدافزار هستند. یکی از این فایلها را ۵۴ شرکت امنیتی بهعنوان فایل مخرب پرچمگذاری کرده است.
هنگامی که عامل تهدیدکننده روش ادغام گواهینامههای سرقتشده را کشف کرد، میتواند برنامههایی بسازد که ازنظر سیستمعامل و لایههای امنیتی، شبیه برنامههای رسمی انویدیا بهنظر برسد. پس از بازشدن این نوع برنامهها، درایورهای مخرب روی سیستم ویندوز بارگذاری خواهند شد.
دیوید وستون، مدیر امنیت سازمانی و سیستمعامل مایکروسافت، دربارهی این وضعیت در توییتر اظهارنظر کرده است. وی اعلام کرده است که مدیر سیستم میتواند سیاستهای بخش Windows Defender Application Control یا بهاختصار WDAC را پیکربندی و تعیین کند کدام درایورهای خاص انویدیا میتوانند روی سیستم بارگذاری شوند. بااینحال، همانطورکه BleepingComputer نیز اشاره کرده است، آشنایی با روش پیادهسازی WDAC میان کاربران عادی ویندوز چندان رایج نیست.
این وضعیت برای کاربران ویندوز چه معنایی دارد؟ بهطور خلاصه، افرادی که بدافزار میسازند، میتوانند با درایورهای مخربی که بهراحتی شناساییشدنی نیستند، برنامههای مدنظر خود را بدون مشکل روی سیستم هدف بارگذاری کنند. این افراد فایلهای آلوده را معمولاً ازطریق وبسایتهای جعلی دانلود درایور پخش میکنند.
با درنظرگرفتن این موضوع، بهتر است هیچ درایوری را از وبسایتهای مشکوک و نامطمئن دانلود نکنید. بهترین کار این است که درصورت نیاز به درایورهای خاص، آنها را بهطور مستقیم از وبسایت انویدیا دانلود کنید. در همین حال، مایکروسافت نیز احتمالاً در حال کار روی قابلیت لغو گواهینامههای یادشده است.
انتظار میرود گروه LAPSUS$ مجموعهی ۲۵۰ گیگابایتی دادههای سختافزاری انویدیا را منتشر کند. این گروه در ابتدا تهدید کرد که اگر انویدیا نتواند درایورهای پردازندههای گرافیکی خود را کاملاً متنباز ارائه دهد، فایلهای سرقتشده را دردسترس عموم قرار خواهد داد. این گروه قبلاً کد DLSS اختصاصی انویدیا را فاش کرده است. همچنین، این هکرها مدعی شدهاند که الگوریتم محدودکنندهی استخراج رمزارز با کارت گرافیکهای انویدیا را بهدست آوردهاند.
نظرات