Il cybercrime ora può falsificare il BIOS e i firmware MSI con le chiavi trapelate online

I laptop MSI potrebbero diventare una facile preda per i criminali informatici dopo che il gruppo di hacker Money Message ha pubblicato online le chiavi private di firma del codice per i prodotti dell’azienda.

La perdita è stata il risultato di un hack alla MSI che Money Message ha annunciato il mese scorso. Gli hacker affermano di aver fatto irruzione nella rete di MSI e di aver rubato i file riservati dell’azienda, incluso il presunto codice sorgente. 

Money Message ha chiesto a MSI di pagare 4 milioni di dollari per mantenere segrete le informazioni rubate, ma la società ha rifiutato. Quindi giovedì scorso gli hacker hanno pubblicato i dati rubati sul loro sito web nel dark web.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La società di sicurezza informatica Binarly ha analizzato i file trapelati e ha confermato che contengono chiavi private di firma del codice per il firmware MSI per 57 prodotti. MSI utilizza queste chiavi per verificare che l’aggiornamento del firmware provenga dall’azienda. In caso contrario, il computer potrebbe contrassegnare il software come non attendibile e potenzialmente dannoso.

Ora le chiavi trapelate online possono cadere nelle mani sbagliate ed essere utilizzate per firmare malware mascherati da programmi MSI. 

“Le chiavi consentono a un utente malintenzionato di creare aggiornamenti del firmware dannosi e consegnarli attraverso i normali processi di aggiornamento del BIOS utilizzando gli strumenti MSI”, afferma Alex Matrosov, CEO di Binarly.

Un aggiornamento del firmware dannoso può essere fornito tramite siti Web fasulli o e-mail che impersonano MSI. Ma Matrosov afferma che il principale metodo di attacco consiste nell’utilizzare le chiavi private “come una seconda fase di download” dopo che l’infiltrazione iniziale è avvenuta attraverso un browser o un documento di phishing. 

La maggior parte dei sistemi antivirus rimarrà silenziosa perché il malware verrà firmato digitalmente come appartenente a MSI e riconosciuto come un legittimo aggiornamento del firmware.

Un altro problema è che la perdita contiene anche chiavi di firma private per Intel Boot Guard, che può verificare che il codice del computer venga eseguito correttamente al primo avvio del PC. Binarly ha trovato le chiavi private di Intel Boot Guard su 116 prodotti MSI. La società ha anche notato che Intel Boot Guard è utilizzato in tutto il settore tecnologico.

MSI ha confermato la violazione della sicurezza e ha avvisato i propri clienti dell’attacco informatico. La società ha affermato di aver lanciato “appropriate misure di salvaguardia” e sta gradualmente ripristinando i propri sistemi al normale funzionamento.

Secondo gli esperti, la fuga delle chiavi del codice privato di MSI potrebbe avere gravi conseguenze per gli utenti dei laptop dell’azienda. Gli aggressori possono utilizzare queste chiavi per falsificare gli aggiornamenti del BIOS e del firmware, che possono contenere codice dannoso o backdoor. In questo modo, possono assumere il controllo completo del computer della vittima e rubare i suoi dati personali o crittografare i suoi file.

Gli utenti MSI devono prestare attenzione durante l’aggiornamento dei propri sistemi e verificare l’autenticità delle fonti di aggiornamento. 

È meglio scaricare gli aggiornamenti solo dal sito Web ufficiale MSI o tramite l’applicazione MSI Live Update.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.