Geçen ay Tayvanlı çok uluslu MSI’ı ihlal eden siber suçlular, görünüşe göre şirketin karanlık web sitesindeki özel kod imzalama anahtarlarını sızdırdılar.
İhlal
MSI (Micro-Star International), bilgisayar (dizüstü bilgisayarlar, masaüstü bilgisayarlar, hepsi bir arada PC’ler, sunucular vb.) ve bilgisayar donanımı (anakartlar, grafik kartları, PC çevre birimleri vb.) geliştiren ve satan bir kuruluştur.
Şirket, Nisan ayı başlarında saldırıya uğradığını doğruladı. Money Message adlı bir fidye yazılımı grubu, ihlalin sorumluluğunu üstlendi, (diğer şeylerin yanı sıra) şirketin kaynak kodunun bir kısmını ele geçirdiklerini ve kodu iade etmek/silmek için 4 milyon dolar istediklerini söyledi.
İhlalin ardından şirket, “kullanıcıları donanım yazılımı/BIOS güncellemelerini yalnızca resmi web sitesinden almaya ve resmi web sitesi dışındaki kaynaklardan dosya kullanmamaya” çağırdı.
MSI üretici yazılımını imzalamak için özel anahtarlar sızdırıldı
Money Message grubu şimdi MSI’ın istenen fidyeyi ödememeye karar verdiğini ve bu nedenle çalınan verileri yayınlamaya başladığını söylüyor.
Üretici yazılımı tedarik zinciri güvenliği konusunda uzmanlaşmış bir siber güvenlik şirketi olan Binarly, sızdırılan kaynak kodunu analiz etti ve 57 MSI ürününde kullanılan ürün yazılımı görüntüleri için özel kod imzalama anahtarları ve 116 MSI ürününde kullanılan Intel Boot Guard için özel imzalama anahtarları buldu.
⛓️Doğrulandı, Intel OEM özel anahtarı sızdırıldı ve tüm ekosistem üzerinde bir etkiye neden oldu. Görünüşe göre Intel BootGuard, 11th Tiger Lake, 12th Adler Lake ve 13th Raptor Lake tabanlı bazı cihazlarda etkili olmayabilir. Araştırmamız devam ediyor, güncellemeler için bizi takip etmeye devam edin. https://t.co/rkxZIpReE8 pic.twitter.com/fLopw1qeSD
— Alex Matrosov (@matrosov) 5 Mayıs 2023
Bu tam olarak ne anlama geliyor?
Açıkçası, MSI’ın müşterilere üretici yazılımı/BIOS güncellemelerini yalnızca resmi web sitesinden alma konusunda önceki uyarısı göz önüne alındığında, şirket saldırganların kötü niyetli güncellemeleri derleyip çalınan anahtarlarla imzalayabileceğinden endişe ediyor. Ancak saldırganlar, diğer kötü amaçlı yükleri de onlarla imzalayarak antivirüs çözümlerini etkili bir şekilde engelleyebilir.
Sızan Intel OEM özel Anahtar Bildirimi (KM) ve Önyükleme Politikası Bildirimi (BPM) anahtarları, Intel Boot Guard’ın doğrulamasını geçebilmeleri için kötü amaçlı ürün yazılımı görüntülerini imzalamak için kullanılabilir. (Intel Önyükleme Koruması, bilgisayarın, orijinal ekipman üreticisinin dijital imzasıyla imzalanmamış ürün yazılımı/UEFI görüntülerini çalıştırmasını engeller. Karşılık gelen genel anahtar, üretici tarafından sistemin yonga setine kaynaştırılır.)
MSI, bulguları resmi olarak yorumlamadı.