کمیته رکن چهارم – انویدیا هفته گذشته هک سرورهای خود را تایید کرد و حالا به نظر میرسد که هکرها از گواهیهای مسروقه این شرکت برای مخفی کردن بدافزارهای خود استفاده کردهاند. گروه $Lapsus مدعی بود که حدود ۱ ترابایت از اطلاعات محرمانه این شرکت را به دست آورده و ظاهرا حالا سوءاستفاده از گواهی درایورهای انویدیا را آغاز کرده است.
در حال حاضر دو گواهی توسعهدهندگی انویدیا به دست مهاجمان افتاده که البته تاریخ انقضای آنها در سال ۲۰۱۴ و ۲۰۱۸ به پایان رسیده است. اما ویندوز همچنان اجازه میدهد که درایورها با این دو گواهی تایید شوند. در نتیجه، بدافزارها میتوانند با کمک این گواهیها خود را موجه نشان دهند. به عبارت دیگر، درایورهای مخرب میتوانند در ویندوز اجرا شوند، بدون این که تدابیر دفاعی سیستم آنها را تشخیص دهد.
از گواهیهای انویدیا برای تولید چندین بدافزار استفاده شده است
سرویس VirusTotal تاکنون نمونههایی از بدافزارهای امضا شده با گواهیهای انویدیا را پیدا کرده است. این نمونهها انواع مختلفی از بدافزارها از جمله تروجانهای دسترسی از راه دور، درهای پشتی و مواردی مانند Mimikatz و Cobalt Strike Beacon را شامل میشوند. گزارش حاضر میگوید بخشی از فایلهایی که در VirusTotal بارگذاری شدهاند، از سمت متخصصان امنیت و بخش دیگر آنها توسط خود هکرها آپلود شده است.
«دیوید وستون»، مدیر امنیت سیستم عامل در مایکروسافت در توییتی در این باره اعلام کرد که مدیران سیستم میتوانند بخش WDAC ویندوز را به گونهای پیکربندی کنند که انواع درایورهای قابل اجرای انویدیا در سیستم مشخص باشد. با این حال، کاربران عادی معمولا سررشتهای در پیکربندی WDAC ندارند.
این یعنی هکرها میتوانند کاربران عادی ویندوز را هدف قرار داده و با بدافزارهای خود به سیستم آنها نفوذ کنند. بنابراین حالا بیشتر از هر زمانی دیگری به کاربران توصیه میشود که درایورها را از منابع غیرقابل اطمینان دانلود نکنند. برای دانلود درایورها بهتر است به سایت رسمی انویدیا بروید. این احتمال وجود دارد که مایکروسافت بهزودی گواهیهای در اختیار هکرها را باطل کند.
منبع : دیجیاتو
