A violação da Nvidia pode ajudar os cibercriminosos a executar campanhas de malware

 

Nenhuma empresa está a salvo de ser alvo de cibercriminosos. Recentemente, foi a vez da Nvidia ser comprometida e os invasores vazaram muitas informações corporativas, incluindo credenciais de mais de 70.000 funcionários e dois certificados de assinatura digital.

A demanda de resgate e o vazamento

Na sexta-feira, 28 de fevereiro, o grupo de cibercriminosos “Lapsus$” anunciou por meio de seu canal Telegram que havia comprometido a Nvidia e roubado cerca de 1 TB de dados – e pediu um resgate que você não vê todos os dias: pediu à Nvidia para permitir LHR novamente em todo o seu firmware.

A demanda de resgate dos cibercriminosos. Fonte: Telegrama

LHR, que significa Lite Hash Rate, é um novo recurso que a Nvidia introduziu em suas placas gráficas para reduzir as possibilidades dessas placas fazerem mineração de criptomoedas. O objetivo desse recurso é impedir que as pessoas comprem esses cartões para mineração de criptomoedas e tenham todo o estoque para os jogadores.

Cobertura de segurança de leitura obrigatória

A Lapsus$ lançou um primeiro arquivo contendo arquivos, incluindo 71.335 endereços de e-mail e senhas de hash NTLM associadas da Nvidia, que confirmou o vazamento e disse que todos os seus funcionários foram obrigados a alterar suas senhas.

No entanto, o vazamento não continha apenas credenciais, mas também código-fonte e mais dados, incluindo dois certificados digitais de assinatura de código.

O que é um certificado de assinatura de código e por que é tão importante?

Um certificado de assinatura de código permite que um desenvolvedor de software ou empresa assine digitalmente arquivos executáveis. Portanto, garante que o código não foi alterado ou corrompido. Esse tipo de assinatura digital é baseado em hash criptográfico para validar a autenticidade e integridade dos dados. Não pode ser falsificado.

Mas o que acontece se alguém colocar as mãos no certificado de assinatura de código de uma empresa de software? A resposta, em resumo, é assustadora: qualquer arquivo executável pode ser assinado com esse certificado, fazendo com que pareça totalmente legítimo para o sistema operacional e seus usuários. Dessa forma, um malware pode se esconder no sistema de forma mais eficiente, não acionando nenhum alerta quando executado.

Roubo de certificado de assinatura de código — mais comum do que você imagina

Os certificados de assinatura de código são ativos importantes que devem ser cuidadosamente protegidos. No entanto, o comprometimento da assinatura de certificados é uma técnica antiga que foi usada no passado por vários cibercriminosos para assinar seus malwares. Um bom exemplo é o malware Stuxnet, que usou dois certificados roubados diferentes para suas diferentes versões.

No lado da espionagem cibernética, o roubo de certificados digitais para assinatura de malware também é relativamente comum. Vários atores de ameaças usaram esse método no passado e ainda o fazem. A assinatura do malware Plead usado na espionagem cibernética é um exemplo, mas há mais por aí.

Roubar certificados de assinatura digital de empresas de software parece ser interessante o suficiente para alguns agentes de ameaças que demonstraram a capacidade de implantar rapidamente malware assinado com certificados de diferentes empresas legítimas.

Certificados de assinatura roubados da Nvidia

No caso da Nvidia, foi revelado publicamente que pelo menos dois certificados diferentes vazaram. Esses certificados expiraram (os certificados digitais não são para sempre; eles têm uma data de expiração), mas ainda podem ser usados ​​para assinar arquivos. A razão para isso está na política de assinatura de driver da Microsoft, que afirma que o sistema operacional executará drivers “assinados com um certificado de entidade final emitido antes de 29 de julho de 2015 que se encadeia a uma CA com assinatura cruzada suportada”.

Logo após a publicação do vazamento, arquivos executáveis ​​assinados com esses dois certificados digitais apareceram no VirusTotal. Embora os primeiros arquivos enviados provavelmente fossem apenas testes de pesquisadores e geeks, alguns malwares reais também foram encontrados, como uma variante Quasar RAT e uma variante de ransomware Ryuk.

É possível que os administradores bloqueiem esses dois certificados nos sistemas de sua empresa, mas tudo depende de qual software eles estão executando.

Os dois certificados vazados são os seguintes:

Nome: NVIDIA Corporation

Status: Este certificado ou um dos certificados na cadeia de certificados não é válido por tempo.

Emissor: Assinatura de Código VeriSign Classe 3 2010 CA

Válido a partir de: 12:00 AM 09/02/2011

Válido até: 23h59 de 01/09/2014

Uso válido: assinatura de código

Algoritmo: sha1RSA

Impressão digital: 579AEC4489A2CA8A2A09DF5DC0323634BD8B16B7

Número de série: 43 BB 43 7D 60 98 66 28 6D D8 39 E1 D0 03 09 F5

Nome: NVIDIA Corporation

Status: Este certificado ou um dos certificados na cadeia de certificados não é válido por tempo.

Emissor: Assinatura de Código VeriSign Classe 3 2010 CA

Válido a partir de: 00:00 28/07/2015

Válido até: 23h59 de 26/07/2018

Uso válido: assinatura de código

Algoritmo: sha1RSA

Impressão digital: 30632EA310114105969D0BDA28FDCE267104754F

Número de série: 14 78 1B C8 62 E8 DC 50 3A 55 93 46 F5 DC C5 18

 

O que pode ser feito contra esses certificados?

Os usuários podem usar as políticas do Windows Defender Application Control (WDAC) para controlar quais drivers da Nvidia podem ser carregados, mas é um processo de configuração bastante complicado. A Microsoft provavelmente fornecerá atualizações de usuário para revogar os certificados roubados, mas pode ser problemático, pois alguns drivers Nvidia legítimos mais antigos também são assinados com esses certificados e podem desencadear erros.

O que fazer se houver vazamento de dados da sua empresa

O vazamento da Nvidia contém muitos tipos diferentes de dados. O primeiro passo é, obviamente, fazer com que todos os usuários alterem imediatamente suas senhas e adicionem autenticação de dois fatores (2FA), se ainda não implantada, como medida de segurança adicional.

No caso de vazamento de código-fonte, é preciso cortar urgentemente todo o acesso às plataformas/servidores de desenvolvimento para que um fraudador não possa abusar dele e verificar a integridade dos servidores.

Se o código vazar no GitHub ou em uma entidade de terceiros, entre em contato com eles para removê-lo o mais rápido possível.

Além disso, verifique e altere todas as senhas, chaves de API e qualquer tipo de token que possa estar em uso no código. Se um certificado digital vazar de sua empresa, desative-o o mais rápido possível.