Утечка у MSI создала угрозу всей платформе Intel

В прошлом месяце с серверов MSI хакеры похитили конфиденциальные ключи сертификации программного обеспечения для продуктов компании. Как выяснили специалисты Binarly, помимо прочего злоумышленники похитили ключи Intel Boot Guard, которые должны обеспечивать аппаратную защиту BIOS. Вчера Intel выпустила официальное заявление по поводу случившегося.

Группировка Money Message, взломавшая серверы MSI, требовала от производителя выкуп $4 млн, но он не был выплачен. В итоге файлы, украденные во время серьёзного взлома MSI в прошлом месяце, начали распространяться по даркнету. Одна из наиболее важных находок, обнаруженных среди украденных данных — ключи безопасности Intel Boot Guard. Они используются для цифровой подписи программного обеспечения, исполняемого до загрузки ОС. В частности, MSI подписывала ими свои обновления BIOS, чтобы пройти проверку безопасности Intel Boot Guard.

Теперь хакеры могут использовать ключ для подписи вредоносных BIOS, прошивок и приложений, которые будут полностью соответствовать официальным релизам MSI. Более того, по данным исследователей в сфере кибербезопасности, утекшие ключи позволят атаковать устройства на процессорах Core 11-, 12- и 13-го поколений. Пострадать от компрометации ключей может не только продукция MSI, но и других производителей. В частности, в утекших файлах MSI эксперты по кибербезопасности обнаружили по меньшей мере один OEM-ключ платформы Intel, который также можно найти на устройствах HP, Lenovo, AOPEN, CompuLab и Star Labs.

8 мая сама Intel выпустила официальное заявление, в котором говорится о том, что ключи генерируются OEM-производителями (то есть MSI), а не самой Intel: «Intel знает об этих сообщениях и активно расследует их. Исследователи утверждают, что в данные включены закрытые ключи подписи, в том числе ключи подписи MSI OEM для Intel Boot Guard. Следует отметить, что OEM-ключи Intel Boot Guard генерируются производителем системы и не являются ключами подписи Intel».

После взлома в прошлом месяце MSI начала призывать клиентов получать обновления прошивки/BIOS исключительно со своего официального веб-сайта. У известной фирмы по производству ПК, комплектующих и периферийных устройств вымогала деньги группа хакеров под названием Money Message. Вымогатели похитили 1,5 Тбайт данных, включая различные файлы исходного кода, закрытые ключи и инструменты для разработки прошивок. Сообщается, что Money Message потребовали более четырёх миллионов долларов, чтобы вернуть все данные обратно MSI.