Các tệp bị đánh cắp trong vụ hack MSI đáng kể vào tháng trước đã bắt đầu sinh sôi nảy nở trên web tối. Một trong những điều đáng lo ngại hơn được phát hiện trong số chiến lợi phẩm kỹ thuật số là khóa riêng của Intel OEM. MSI sẽ sử dụng điều này để ký các bản cập nhật chương trình cơ sở/BIOS của mình để vượt qua các kiểm tra xác minh Intel Boot Guard. Giờ đây, tin tặc có thể sử dụng khóa để ký BIOS, chương trình cơ sở và ứng dụng độc hại, trông hoàn toàn giống như các bản phát hành chính thức của MSI.
Sau khi bị hack vào tháng trước, MSI đã bắt đầu kêu gọi khách hàng tìm nguồn cập nhật firmware/BIOS độc quyền từ trang web chính thức của mình. Công ty PC, linh kiện và thiết bị ngoại vi nổi tiếng đã bị tống tiền bởi một nhóm ransomware có tên là Money Message. Rõ ràng những kẻ tống tiền đã lấy 1,5 TB dữ liệu, bao gồm các tệp mã nguồn khác nhau, khóa riêng tư và công cụ để phát triển chương trình cơ sở. Các báo cáo cho biết Money Message đã yêu cầu hơn bốn triệu đô la để trả lại toàn bộ dữ liệu cho MSI. Hơn một tháng đã trôi qua và có vẻ như MSI vẫn chưa trả hết. Do đó, chúng ta hiện đang nhìn thấy bụi phóng xạ.
Intel Boot Guard đảm bảo rằng chỉ PC mới có thể chạy các ứng dụng đã được xác minh trước khi khởi động. Trong sách trắng về ‘bảo mật bên dưới hệ điều hành (PDF), Intel tự hào nói về các công nghệ BIOS Guard, Boot Guard và Firmware Guard của mình. Boot Guard là “yếu tố chính của tính toàn vẹn khởi động dựa trên phần cứng đáp ứng các yêu cầu của Microsoft Windows đối với Khởi động an toàn UEFI.” Đáng buồn thay, nó sẽ không còn là một ‘người bảo vệ’ hữu ích cho nhiều hệ thống MSI nữa.
Tweet được xuất bản bởi nhị phân (một nền tảng bảo mật chuỗi cung ứng) và người sáng lập Alex Matrosov, đã chỉ ra một cách gọn gàng những mối nguy hiểm do việc rò rỉ khóa Boot Guard và các dữ liệu khác trong quá trình vận chuyển MSI. Chuyên gia bảo mật gợi ý rằng các nhà cung cấp thiết bị khác sẽ bị ảnh hưởng bởi vụ rò rỉ của MSI, bao gồm Intel, Lenovo, Supermicro và nhiều hãng khác. Một trang GitHub được liên kết bởi Binarly liệt kê 57 hệ thống PC MSI đã bị rò rỉ khóa chương trình cơ sở và 166 hệ thống đã bị rò rỉ khóa BPM/KM của Intel Boot Guard.
Nếu chịu khó xem qua danh sách các máy bị ảnh hưởng, bạn sẽ thấy toàn những dòng MSI quen thuộc như Sword, Stealth, Creator, Prestige, Modern, Cyborg, Raider, Titan. Chủ sở hữu các hệ thống này có CPU Intel Core thế hệ thứ 11 Tiger Lake hoặc mới hơn sẽ phải tuân thủ nghiêm ngặt các bản cập nhật chỉ dành cho trang web MSI.
Ngoài những lo lắng về Boot Guard, có thể tin tặc sẽ cố gắng lừa đảo người dùng truy cập trang web MSI giả mạo hoặc tải xuống ứng dụng MSI giả mạo. Các ứng dụng này hiện có thể được ký và sẽ có vẻ thực sự đến từ MSI, vì vậy có thể thực thi mà không cần kích hoạt AV của bạn.
Vụ rò rỉ này chắc chắn đã gây ra một mớ hỗn độn và không rõ liệu các khóa bị rò rỉ có thể bị thu hồi hay các bước tiếp theo từ các bên liên quan sẽ là gì. Tại thời điểm viết bài, chúng tôi chưa thấy bất kỳ phản ứng chính thức nào từ MSI hoặc Intel về các tệp hiện đang được công khai. Vui lòng tránh kiểm tra các tệp bị đánh cắp trên web đen hoặc các nguồn khác, vì giờ đây chúng có thể chứa phần mềm độc hại.
