Nie tylko WD informowało na początku kwietnia o włamaniu na swoje serwery przez cyberprzestępców, bo w podobnym czasie doszło także do ataku na MSI. Co gorsze, pliki wykradzione podczas tego włamania zaczęły się rozprzestrzeniać po dark webie.
To nie koniec złych wieści, bo wśród cyfrowych danych krążących po sieci jest prywatny klucz Intel OEM. MSI używa tego do podpisania aktualizacji firmware'u/BIOSu, aby przejść weryfikację Intel Boot Guard. Teraz hakerzy mogą używać tego klucza do podpisywania złośliwego BIOS-u, firmware'u i aplikacji, które będą wyglądać całkowicie tak, jak oficjalne wersje od MSI.
Dane wykradzione podczas włamania na serwery MSI zaczęły się rozprzestrzeniać po dark webie.
MSI nie negocjuje z przestępcami. Dane w dark webie
W następstwie włamania MSI zaczęło przekonywać klientów do pobierania aktualizacji firmware'u/BIOS-u wyłącznie z oficjalnej strony internetowej. Popularny producent padł nawet ofiarą szantażu ze strony grupy ransomware o nazwie Money Message. Najwyraźniej cyberprzestępcy wykradli 1,5 TB danych, w tym różne pliki kodu źródłowego, klucze prywatne i narzędzia do tworzenia firmware'u. Z doniesień wynika, że Money Message żądało ponad cztery miliony dolarów okupu za zwrot całości danych z powrotem do MSI. Minął ponad miesiąc i wygląda na to, że MSI zdecydowało się nie płacić, dlatego pliki zaczęły krążyć po dark webie.
Intel Boot Guard zapewnia, że komputery PC mogą uruchamiać tylko zweryfikowane aplikacje przed uruchomieniem. W białej księdze na temat „zabezpieczeń poniżej systemu operacyjnego (PDF) Intel chwali się swoimi technologiami BIOS Guard, Boot Guard i Firmware Guard. Boot Guard to „kluczowy element sprzętowej integralności rozruchu, który spełnia wymagania Microsoft Windows dotyczące bezpiecznego rozruchu UEFI”. Niestety, ten nie będzie już stanowił praktycznej ochrony dla szerokiej gamy urządzeń MSI.
Problem dotyczy wszystkich znanych serii MSI i nie tylko
Tweety opublikowane przez Binarly (platformę bezpieczeństwa łańcucha dostaw) i jej założyciela Alexa Matrosova opisują niebezpieczeństwa związane z wyciekiem kluczy Boot Guard i innych danych, które hakerzy zdobyli od MSI. Specjalista ds. bezpieczeństwa sugeruje, że wyciek dotknie innych producentów urządzeń, w tym Intela, Lenovo, Supermicro i wielu innych. Strona GitHub, do której odsyła Binarly, zawiera listę 57 urządzeń PC od MSI, z których wyciekły klucze firmware'u oraz 166 systemów, w których wyciekły klucze Intel Boot Guard BPM/KM.
⛓️Digging deeper into the aftermath of the @msiUSA data breach and its impact on the industry.
— BINARLY🔬 (@binarly_io) May 5, 2023
🔥Leaked Intel BootGuard keys from MSI are affecting many different device vendors, including @Intel , @Lenovo, @Supermicro_SMCI, and many others industry-wide.
🔬#FwHunt is on! https://t.co/NuPIUJQUgr pic.twitter.com/ZB8XKj33Hv
Problem dotyczy wszystkich znanych serii MSI, takich jak Sword, Stealth, Creator, Prestige, Modern, Cyborg, Raider, Titan. Właściciele tych systemów z procesorami Intel Core 11. generacji Tiger Lake lub nowszymi będą musieli być bardzo ostrożni i pobierać dostępne aktualizacje wyłącznie na stronie MSI.
Oprócz obaw Boot Guard możliwe jest, że hakerzy będą próbować wyłudzać informacje od użytkowników, stawiając fałszywą stronę MSI lub tworząc fałszywe aplikacje MSI. Te aplikacje można teraz podpisać i będą wyglądały, jakby rzeczywiście pochodziły od MSI, więc można je uruchamiać bez alarmowania antywirusa.
Ten wyciek z pewnością narobił sporo problemów MSI (i nie tylko) i nie jest jasne, czy ujawnione klucze można cofnąć ani jakie będą kolejne kroki zaangażowanych stron. Wciąż czekamy na reakcję ze strony MSI lub Intela w tej sprawie.
Pokaż / Dodaj komentarze do: MSI ma duży problem. Wykradzione dane, w tym klucze Intel BootGuard, w sieci