Обеспокоенность по поводу недавней кибератаки на MSI растет, потому что она потенциально может привести к разрушительным атакам на цепочки поставок. Исследователь безопасности Алекс Матросов также предупредил, что в результате вторжения вредоносные обновления могут распространяться с использованием доверенных ключей подписи MSI.
Это означает, что обновления, кажущиеся легитимными, на самом деле могут содержать вредоносную полезную нагрузку, которая заражает устройства пользователей, не вызывая никаких предупреждений. Усугубляет ситуацию то, что у MSI нет автоматизированного процесса исправления и возможности отозвать утечку ключей, в отличие от крупных производителей оборудования, таких как Dell и HP. «Это похоже на сценарий судного дня, когда очень трудно обновить устройства одновременно … и будут использовать старый ключ для аутентификации», – сказал Матросов. «Это очень сложно решить, и я не думаю, что у MSI есть какое-либо резервное решение, чтобы действительно блокировать утечку ключей»
Масштабы ущерба стали известны, когда хакерская группа Money Message указала MSI в качестве жертвы и поделилась скриншотами закрытых ключей шифрования и исходного кода. Особое беспокойство вызывает ключ подписи, который используется для проверки подлинности обновлений прошивки MSI. Попав в чужие руки, этот ключ может быть использован для рассылки зараженных обновлений ничего не подозревающим пользователям. Матросов подчеркнул серьезность ситуации и необходимость для MSI оперативно устранить последствия для безопасности.
Хотя до сих пор не было сообщений об атаках на цепочки поставок, направленных на клиентов MSI, обладание ключом подписи значительно снижает усилия и ресурсы, необходимые для такой атаки хакерами.
Источник: Ferra