هکرها از گواهینامه‌های سرقت‌شده انویدیا برای مخفی‌کردن بدافزارها استفاده می‌کنند

محققان امنیتی اعلام کرده‌اند گواهی‌های امضای کد انویدیا که از حمله‌ی سایبری اخیر به این شرکت به‌دست آمده است، برای اهداف بدافزاری استفاده می‌شوند.
   
گروه هکری LAPSUS$ به‌تازگی اعلام کرده است که یک ترابایت اطلاعات محرمانه از انویدیا دزیده است. اکنون این اطلاعات حساس در قالب دو گواهی امضای کد به‌صورت آنلاین دردسترس قرار گرفته است؛ گواهینامه‌هایی که توسعه‌دهندگان برای نصب درایورهای محصولات این شرکت استفاده می‌کنند.

به‌گزارش دیجیتال‌ترندز، BleepingComputer اعلام کرده است گواهینامه‌هایی که در این حمله‌ی سایبری به‌خطر افتاده‌اند، به‌ترتیب در سال‌های ۲۰۱۴ و ۲۰۱۸ منقضی شده‌اند. بااین‌حال، ویندوز همچنان به درایورها اجازه می‌دهد با این گواهی‌ها مجوز لازم را برای اجراشدن روی سیستم دریافت کنند و درنتیجه، بدافزارها می‌توانند با بهره‌گرفتن از این گواهی‌ها خود را به‌عنوان نرم‌افزاری مطمئن به ویندوز معرفی کنند. این اقدام نهایتاً راه را برای فعال‌کردن بدافزارها در ویندوز فراهم می‌کند.

انواع خاصی از بدافزارها که با گواهینامه‌های انویدیا امضا شده بودند، در وب‌سایت ویروس توتال (VirusTotal)، سرویس بررسی بدافزار‌، کشف شدند. نمونه‌هایی که در این سرویس آپلود شده‌اند، نشان می‌دهد که از گواهی‌های انویدیا برای امضای ابزارهای هک و بدافزارها ازجمله Mimikatz، Cobalt Strike Beacon و تروجان‌های دسترسی راه‌ دور استفاده شده است. در همین‌ زمینه، شخصی موفق شده است از این گواهی‌ها برای امضای تروجان دسترسی راه‌ دور استفاده کند.
 
BleepingComputer اعلام کرده است برخی از فایل‌ها را به‌احتمال زیاد محققان امنیتی ویروس توتال آپلود کرده‌اند. همچنین، شواهدی وجود دارد که ظاهراً نشان می‌دهد فایل‌های دیگری که این سرویس بررسی کرده است، افراد و هکرهایی آپلود کرده‌اند که مایل به انتشار بدافزار هستند. یکی از این فایل‌ها را ۵۴ شرکت امنیتی به‌عنوان فایل مخرب پرچم‌گذاری کرده است.

هنگامی که عامل تهدیدکننده روش ادغام گواهینامه‌های سرقت‌شده را کشف کرد، می‌تواند برنامه‌هایی بسازد که ازنظر سیستم‌عامل و لایه‌های امنیتی، شبیه برنامه‌های رسمی انویدیا به‌نظر برسد. پس از بازشدن این نوع برنامه‌ها، درایورهای مخرب روی سیستم ویندوز بارگذاری خواهند شد.

دیوید وستون، مدیر امنیت سازمانی و سیستم‌عامل مایکروسافت، درباره‌ی این وضعیت در توییتر اظهارنظر کرده است. وی اعلام کرده است که مدیر سیستم می‌تواند سیاست‌های بخش Windows Defender Application Control یا به‌اختصار WDAC را پیکربندی و تعیین کند کدام درایورهای خاص انویدیا می‌توانند روی سیستم بارگذاری شوند. بااین‌حال، همان‌طورکه BleepingComputer نیز اشاره کرده است، آشنایی با روش پیاده‌سازی WDAC میان کاربران عادی ویندوز چندان رایج نیست.

این وضعیت برای کاربران ویندوز چه معنایی دارد؟ به‌طور خلاصه، افرادی که بدافزار می‌سازند، می‌توانند با درایورهای مخربی که به‌راحتی شناسایی‌شدنی نیستند، برنامه‌های مدنظر خود را بدون مشکل روی سیستم هدف بارگذاری کنند. این افراد فایل‌های آلوده را معمولاً ازطریق وب‌سایت‌های جعلی دانلود درایور پخش می‌کنند.

با درنظر‌گرفتن این موضوع، بهتر است هیچ درایوری را از وب‌سایت‌های مشکوک و نامطمئن دانلود نکنید. بهترین کار این است که درصورت نیاز به درایورهای خاص، آن‌ها را به‌طور مستقیم از وب‌سایت انویدیا دانلود کنید. در همین‌ حال، مایکروسافت نیز احتمالاً در حال کار روی قابلیت لغو گواهینامه‌های یادشده است.

انتظار می‌رود گروه LAPSUS$ مجموعه‌ی ۲۵۰ گیگابایتی داده‌های سخت‌افزاری انویدیا را منتشر کند. این گروه در ابتدا تهدید کرد که اگر انویدیا نتواند درایورهای پردازنده‌های گرافیکی خود را کاملاً متن‌باز ارائه دهد، فایل‌های سرقت‌شده را دردسترس عموم قرار خواهد داد. این گروه قبلاً کد DLSS اختصاصی انویدیا را فاش کرده است. همچنین، این هکرها مدعی شده‌اند که الگوریتم محدودکننده‌ی استخراج رمزارز با کارت گرافیک‌های انویدیا را به‌دست آورده‌اند.