Исследователи уже нашли примеры вредоносных файлов, подписанных украденными сертификатами.
Группа хакеров , которая недавно взломала системы, принадлежащие производителю графических чипов Nvidia, опубликовала два сертификата для подписи кода компании. Исследователи предупреждают, что сертификаты могут использоваться для подписи вредоносных программ на уровне ядра и их загрузки в системы, в которых есть проверка подписи драйверов.
На прошлой неделе Nvidia подтвердила, что стала жертвой внутреннего взлома, и заявила, что информация о клиентах не была скомпрометирована. Хотя хакеры выдвинули очень странные требования , угрожая раскрыть конфиденциальные корпоративные данные, если Nvidia не разблокирует некоторые из своих самых мощных видеокарт для майнинга криптовалюты , обычным пользователям не о чем беспокоиться. Сейчас мы наблюдаем один из первых последствий взлома для конечных пользователей: пакеты драйверов графического процессора Nvidia со скрытым внутри него вредоносным ПО.Злоумышленники и раньше могли размещать ссылки под видом драйверов в надежде установить вирусы, трояны и другие неприятные вещи на ПК пользователя, но сейчас ситуация вызывает больше беспокойства. Хакеры украли официальные сертификаты подписи кода Nvidia, средство, с помощью которого пользователи (и Microsoft) могут проверить подлинность загружаемого драйвера или программы, перед установкой на компьютер пользователя.
Сертификаты были частью большого пула украденных файлов, размером 1 ТБ и включает в себя исходный код и API документацию по для драйверов графического процессора. Nvidia подтвердила кражу и предупредила, что хакеры забрали «пароли сотрудников и некоторую конфиденциальную информацию Nvidia», но не подтвердила размер утечки данных.
Были скомпрометированы сертификаты с истекшим сроком действия (но все еще пригодные для использования). Хакеры уже используют их для доставки троянов удаленного доступа. Также был замечен другой пример использования для подписи поддельного драйвера Windows.