Хакеры используют украденные сертификаты Nvidia для сокрытия вредоносных программ

Группа хакеров, которая недавно взломала системы, принадлежащие производителю графических чипов Nvidia, опубликовала два сертификата для подписи кода компании. Исследователи предупреждают, что сертификаты могут использоваться для подписи вредоносных программ на уровне ядра и их загрузки в системы, в которых есть проверка подписи драйверов.

На прошлой неделе Nvidia подтвердила, что стала жертвой внутреннего взлома, и заявила, что информация о клиентах не была скомпрометирована. Хотя хакеры выдвинули очень странные требования , угрожая раскрыть конфиденциальные корпоративные данные, если Nvidia не разблокирует некоторые из своих самых мощных видеокарт для майнинга криптовалюты , обычным пользователям не о чем беспокоиться. Сейчас мы наблюдаем один из первых последствий взлома для конечных пользователей: пакеты драйверов графического процессора Nvidia со скрытым внутри него вредоносным ПО.

Злоумышленники и раньше могли размещать ссылки под видом драйверов в надежде установить вирусы, трояны и другие неприятные вещи на ПК пользователя, но сейчас ситуация вызывает больше беспокойства. Хакеры украли официальные сертификаты подписи кода Nvidia, средство, с помощью которого пользователи (и Microsoft) могут проверить подлинность загружаемого драйвера или программы, перед установкой на компьютер пользователя.

Сертификаты были частью большого пула украденных файлов, размером 1 ТБ и включает в себя исходный код и API документацию по для драйверов графического процессора. Nvidia подтвердила кражу и предупредила, что хакеры забрали «пароли сотрудников и некоторую конфиденциальную информацию Nvidia», но не подтвердила размер утечки данных.

Были скомпрометированы сертификаты с истекшим сроком действия (но все еще пригодные для использования). Хакеры уже используют их для доставки троянов удаленного доступа. Также был замечен другой пример использования для подписи поддельного драйвера Windows.