Money Message обнародовала секреты MSI: теперь любой может подделать обновления для ее продуктов

Ноутбуки MSI могут стать легкой добычей для киберпреступников после того, как хакерская группа Money Message опубликовала в сети приватные ключи подписи кода для продуктов компании.

Утечка произошла в результате взлома MSI, который Money Message объявила еще в прошлом месяце. Хакеры утверждают, что они проникли в сеть MSI и похитили конфиденциальные файлы компании, включая предполагаемый исходный код. Money Message требовала от MSI заплатить $4 млн за то, чтобы не разглашать украденную информацию, но компания отказалась. Поэтому в четверг хакеры выложили похищенные данные на своем сайте в темной сети.

Компания по кибербезопасности Binarly проанализировала утекшие файлы и подтвердила, что они содержат приватные ключи подписи кода для прошивок MSI по 57 продуктам. MSI использует эти ключи для того, чтобы подтвердить, что обновление прошивки исходит от компании. В противном случае компьютер может пометить программное обеспечение как недоверенное и потенциально вредоносное.

Теперь утекшие ключи могут попасть в чужие руки и быть использованы для того, чтобы подписать вредоносное ПО, маскирующееся под программы MSI. «Ключи подписи образа прошивки позволяют злоумышленнику создавать вредоносные обновления прошивок и доставлять их через обычные процессы обновления BIOS с помощью инструментов MSI», — говорит генеральный директор Binarly Алекс Матросов.

Вредоносное обновление прошивки может быть доставлено через поддельные сайты или электронные сообщения, выдающие себя за MSI. Но Матросов говорит, что основной способ атаки заключается в том, что приватные ключи используются «как второй этап загрузки» после того, как первоначальное проникновение происходит через браузер или фишинговый документ. Большинство антивирусных систем будут молчать, потому что вредоносное ПО будет подписано цифровой подписью как принадлежащее MSI и распознаваться как законное обновление прошивки.

Другая проблема заключается в том, что утечка также содержит приватные ключи подписи для Intel Boot Guard, который может проверять правильность запуска компьютерного кода при первой загрузке ПК. Binarly нашла приватные ключи для Intel Boot Guard по 116 продуктам MSI. Компания также отметила, что Intel Boot Guard используется во всей технологической отрасли.

MSI подтвердила факт нарушения безопасности и предупредила своих клиентов о кибератаке. Компания заявила, что запустила «соответствующие механизмы защиты» и постепенно восстанавливает свои системы до нормальной работы.

По словам экспертов, утечка приватных ключей подписи кода MSI может иметь серьезные последствия для пользователей ноутбуков компании. Злоумышленники могут использовать эти ключи для того, чтобы подделывать обновления BIOS и прошивок, которые могут содержать вредоносный код или бэкдоры. Таким образом, они могут получить полный контроль над компьютером жертвы и украсть ее личные данные или шифровать ее файлы.

Пользователям MSI нужно быть осторожными при обновлении своих систем и проверять подлинность источников обновлений. Лучше всего скачивать обновления только с официального сайта MSI или через приложение MSI Live Update.