Эксперты проанализировали утечку закрытых ключей Intel и выяснили, что хакеры скомпрометировали цифровые подписи для заверения прошивок 57 продуктов MSI, а также ключи для обеспечения защищённой загрузки при помощи технологии Intel Boot Guard на 166 продуктах MSI и ещё Lenovo, SuperMicro и других производителей.
Доступ к ключам заверения прошивок даёт злоумышленникам возможность сформировать корректные цифровые подписи для фиктивной или изменённой прошивки, в которую встроены неавторизованные производителем закладки. Ключи Boot Guard позволяют обойти механизм запуска только проверенных компонентов на стадии начальной загрузки. Хакеры могут использовать утечку ключей, например, для компрометации механизма верифицированной загрузки UEFI Secure Boot.
Инцидент с публикацией в открытом доступе закрытых ключей Intel для MSI затронул серии ноутбуков Stealth, Creator, Crosshair, Prestige, Pulse, Modern, Raider, Sword, Summit, Vector и Katana.
Закрытые ключи Intel из утечки и затронутые продукты MSI, которые используют эти ключи
Профильные эксперты считают, что утечка закрытых ключей Intel может использоваться злоумышленниками для атак на другие механизмы верификации, включая решения на базе Intel CSME (Converged Security and Management Engine), а также OEM unlock, ISH (Integrated Sensor Hub) firmware и SMIP (Signed Master Image Profile).
Представители отрасли пояснили, что масштабы этой утечки данных всё ещё неясны, так как хакеры продолжают публиковать код из утечки. По мнению экспертов, Intel почти наверняка придётся пересмотреть механизм выдачи ключей и выдать новые ключи всем пострадавшим от атаки партнёрам. Что это означает для конечных пользователей, пока неизвестно. Intel не опубликовала заявление об утечке, а MSI ранее признала утечку части данных компании.
7 апреля 2023 года MSI предупредила партнёров, клиентов и пользователей о кибератаке на IT-системы компании. Хакеры из группировки Money Message заявили, что украли у MSI 1,5 ТБ данных, включая исходные коды основных продуктов и корпоративные базы данных. Они требуют выкуп в размере $4 млн.
Также MSI настоятельно попросила своих клиентов не скачивать и не загружать на свои устройства ПО и инструменты от MSI (BIOS/UEFI/прошивки или драйверы) из любых сторонних источников, кроме официального веб-сайта MSI.
Хакеры Money Message опубликовали скриншоты из баз данных корпоративных CTMS и ERP-систем MSI, а также скриншоты с файлами, содержащими исходный код проприетарного ПО компании, включая закрытые ключи, фреймворк для разработчиков прошивок для BIOS. Злоумышленники предупредили, что у них есть закрытые ключи, позволяющие скомпрометировать BIOS любого устройства MSI.
