هکرها با سوءاستفاده از گواهی مسروقه درایورهای انویدیا بدافزارهای خود را مخفی می‌کنند

انویدیا هفته گذشته هک سرورهای خود را تایید کرد و حالا به نظر می‌رسد که هکرها از گواهی‌های مسروقه این شرکت برای مخفی کردن بدافزارهای خود استفاده کرده‌اند. گروه $Lapsus مدعی بود که حدود 1 ترابایت از اطلاعات محرمانه این شرکت را به دست آورده و ظاهرا حالا سوءاستفاده از گواهی درایورهای انویدیا را آغاز کرده است.

به گزارش وب‌سایت BleepingComputer، در حال حاضر دو گواهی توسعه‌دهندگی انویدیا به دست مهاجمان افتاده که البته تاریخ انقضای آن‌ها در سال 2014 و 2018 به پایان رسیده است. اما ویندوز همچنان اجازه می‌دهد که درایورها با این دو گواهی تایید شوند. در نتیجه، بدافزارها می‌توانند با کمک این گواهی‌ها خود را موجه نشان دهند. به عبارت دیگر، درایورهای مخرب می‌توانند در ویندوز اجرا شوند، بدون این که تدابیر دفاعی سیستم آن‌ها را تشخیص دهد.

از گواهی‌های انویدیا برای تولید چندین بدافزار استفاده شده است

سرویس VirusTotal تاکنون نمونه‌هایی از بدافزارهای امضا شده با گواهی‌های انویدیا را پیدا کرده است. این نمونه‌ها انواع مختلفی از بدافزارها از جمله تروجان‌های دسترسی از راه دور، درهای پشتی و مواردی مانند Mimikatz و Cobalt Strike Beacon را شامل می‌شوند. گزارش حاضر می‌گوید بخشی از فایل‌هایی که در VirusTotal بارگذاری شده‌اند، از سمت متخصصان امنیت و بخش دیگر آن‌ها توسط خود هکرها آپلود شده است.

«دیوید وستون»، مدیر امنیت سیستم عامل در مایکروسافت در توییتی در این باره اعلام کرد که مدیران سیستم می‌توانند بخش WDAC ویندوز را به گونه‌ای پیکربندی کنند که انواع درایورهای قابل اجرای انویدیا در سیستم مشخص باشد. با این حال، کاربران عادی معمولا سررشته‌ای در پیکربندی WDAC ندارند.

این یعنی هکرها می‌توانند کاربران عادی ویندوز را هدف قرار داده و با بدافزارهای خود به سیستم آن‌ها نفوذ کنند. بنابراین حالا بیشتر از هر زمانی دیگری به کاربران توصیه می‌شود که درایورها را از منابع غیرقابل اطمینان دانلود نکنند. برای دانلود درایورها بهتر است به سایت رسمی انویدیا بروید. این احتمال وجود دارد که مایکروسافت به‌زودی گواهی‌های در اختیار هکرها را باطل کند.