就在上週,黑客組織公開稱拿到了 Nvidia 機密資料,黑客提出要求 Nvidia 必須將其顯示卡驅動程式徹底開源,包括 Windows、macOS、Linux 等等各個系統版本,而且必須立刻開源,今後永遠保持開源,否則後果自負。就在本週, Nvidia 公司也證實此事件,他們的確遭受了一次網絡攻擊,在這次遭受的攻擊過程中使黑客組織得以竊取員工的證書和專有數據。
對於本次洩露事件負責的勒索集團 Lapsus$ 表示,他們已經竊取了 Nvidia 將近1TB的數據,並且在 Nvidia 拒絕他們的談判條件後就開始把該盜竊的數據洩露出網絡上。洩漏的數據總共有2份,分別是被盜的代碼簽署證書,這些證書的內容是 Nvidia 開發人員用來簽署其驅動程式和可執行文件的。
代碼簽署證書允許開發人員對可執行文件和驅動程式進行數碼簽署,以便 Windows 和終端用戶能夠驗證文件的所有者,以及它們是否被第三方篡改過。為了提高 Windows 的安全性,防止用戶個人資料洩露出去。 微軟要求內核模式的驅動程式在操作系統加載之前必須有本人的代碼簽署,才能進行操作。
As part of the #NvidiaLeaks, two code signing certificates have been compromised. Although they have expired, Windows still allows them to be used for driver signing purposes. See the talk I gave at BH/DC for more context on leaked certificates: https://t.co/UWu3AzHc66 pic.twitter.com/gCrol0BxHd
— Bill Demirkapi (@BillDemirkapi) March 3, 2022
在勒索集團 Lapsus$ 在網上洩露了 Nvidia 的代碼簽署證書後, Nvidia 的安全研究人員很快發現,這些被盜取的證書用來簽署惡意軟件和威脅者使用的其他工具。根據上傳到一個提供免費的可疑文件分析服務的網站 VirusTotal 上,通過惡意軟件掃描服務的樣本,被盜的證書被用來簽署各種惡意軟件和黑客工具,如 Cobalt Strike 信標、Mimikatz、後門和遠程訪問木馬等等。
例如,一個威脅者用該證書籤署了一個 Quasar 遠程訪問特洛伊木馬[VirusTotal],而另一個人用該證書籤署了一個 Windows 驅動程式[VirusTotal]。雖然這2個被盜的 Nvidia 證書都顯示已經過期了,但 Windows 仍然允許在操作系統中加載用這些證書籤名的驅動程式。不過這樣子容易會電腦中木馬,和個人資料洩露出去,所以大家安裝 Nvidia 驅動程式時如果發現簽署已經過期就盡可能不要使用。
