Des cybercriminels se sont récemment introduit dans les systèmes d’information de l’entreprise américaine Nvidia et ont dérobé des certificats de signature de code. Des chercheurs ont découvert que ces pilotes sont utilisés par les hackers pour une signature de malwares au niveau du noyau des anciens systèmes Windows. Ces programmes malveillants sont surtout chargés sur des systèmes qui disposent d’une fonction de vérification de signature des pilotes.
Zoom sur la violation de données Nvidia
Le groupe cybercriminel LAPSUS$ a récemment déclaré avoir eu accès à plusieurs systèmes d’information Nvidia. Selon son affirmation, cette intrusion a duré environ une semaine en utilisant un accès administrateur. Ce groupe de cybercriminels aurait réussi à extraire jusqu’à 1 To de données, comprenant un code source de pilotes, des documents, des schémas de hardware, des firmwares, ainsi que des outils et des kits de développement privés. Il affirme également avoir eu accès à l’ensemble des informations sur la technologie de sécurité matérielle Falcon. Il s’agit d’un système intégré aux GPU Nvidia permettant de prévenir une mauvaise programmation. Ces hackers ont aussi affirmé détenir des informations sur la technologie Lite Hash Rate ou LHR.
Pour prouver que l’exfiltration a eu lieu, ce groupe de cybercriminels a publié environ 20 Go d’informations qui provenaient de ce cache. Pour démontrer qu’il a également des informations sur le LHR en sa possession, les membres de ce groupe ont publié un outil qui, selon eux, permet de contourner la limitation du LHR sans avoir besoin de réinitialiser le firmware du GPU.
Une violation de donnée confirmée par Nvidia
De son côté, Nvidia a confirmé avoir été la cible d’une violation d’accès. Les hackers ont dérobé des mots de passe d’employés ainsi que diverses informations exclusives Nvidia. Selon l’entreprise, des certificats de signature de code, des codes sources, une documentation API des pilotes des GPU ont réellement été volés dans une archive de données. Cependant, l’entreprise n’a pas dévoilé le volume exact des données dérobées.
Des certificats de signature de code détectés dans les malwares
Des chercheurs en cybersécurité ont trouvé des échantillons d’outils de piratage, ainsi que des fichiers malveillants signés par des certificats de signature de code. Selon eux, d’autres malwares pourraient abuser de la légitimité des certificats Nvidia. Il faut savoir que les certificats de signature de code Nvidia publiés par le groupe de cybercriminels ont expiré en 2014 et 2018. Par contre, ils peuvent toujours servir pour signer un code malveillant ou pour tenter d’échapper à la détection de certains produits de sécurité.
À titre de rappel, ces certificats de signature de code sont importants dans la sécurité du système. Ils renvoient à des certificats Microsoft Windows. Ils permettent aux applications signées numériquement par un développeur de confiance de s’exécuter. En d’autres termes, l’utilisation de cette signature de confiance sur un pilote est une fonction de sécurité importante. Les pilotes peuvent ainsi s’exécuter avec des privilèges au niveau du noyau. Par conséquent, ils pourront avoir accès à des zones restreintes du système d’exploitation.