Intel начала расследование масштабной утечки приватных ключей Intel Boot Guard

Intel расследует утечку данных, в результате которой приватные ключи подписи для Intel Boot Guard были опубликованы в даркнете группировкой Money Message.

Intel сообщила СМИ, что компания знает об утечке и ​​ведет активное расследование. Различные исследователи безопасности утверждают, что утечка содержит закрытые ключи подписи, в том числе OEM-ключи подписи MSI для Intel Boot Guard. По словам Intel, OEM-ключи Intel Boot Guard генерируются производителем системы и не являются ключами подписи Intel.

MSI подтвердила факт нарушения безопасности и предупредила своих клиентов о кибератаке. Компания заявила, что запустила «соответствующие механизмы защиты» и постепенно восстанавливает свои системы до нормальной работы.

Гендиректор ИБ-компании Binarly Алекс Матросов сообщил, что утечка может сделать Boot Guard неэффективным на процессорах 11th Tiger Lake, 12th Adler Lake и 13th Raptor Lake. У Binarly есть доказательства того, что эта утечка данных MSI затронула всю экосистему Intel. По словам Матросова, это прямая угроза для клиентов MSI.

Матросов заявил, что ключи подписи позволяют злоумышленнику создавать вредоносные обновления встроенного ПО, и его можно доставить с помощью обычного процесса обновления BIOS с помощью инструментов обновления MSI. Утечка ключей Intel Boot Guard влияет на всю экосистему (не только на MSI) и делает эту функцию безопасности бесполезной.

Компания по кибербезопасности Binarly проанализировала утекшие файлы и подтвердила, что они содержат приватные ключи подписи кода для прошивок MSI по 57 продуктам . MSI использует эти ключи для того, чтобы подтвердить, что обновление прошивки исходит от компании. В противном случае компьютер может пометить программное обеспечение как недоверенное и потенциально вредоносное.

В начале апреля группировка Money Message заявила, что похитила около 1,5 ТБ данных из систем MSI, и потребовала выкуп в размере $4 млн . MSI отказалась платить хакерам, заявив, что атака и украденные файлы не представляют реальной угрозы для бизнес-операций компании. В ответ злоумышленники обнародовали файлы.