Hoppa till innehåll

Webinar: Registrera dig för vårt kommande webbinarium

Registrera nu

  1. Blog
    2. Fallstudie

Fallstudie: MSI-kodsigneringsdatastölden 2023

Postat avAryan Kumar 11 minuter
MSI
Innehållsförteckning

I april 2023 blev Micro-Star International (MSI), en välkänd taiwanesisk tillverkare av bärbara datorer, moderkort och grafikkort, offer för en ransomware-attack utförd av Money Message-gänget. Intrånget resulterade i stöld och efterföljande läckage av privata data. kodsignering nycklar på den mörka webben, vilket utgör ett betydande hot mot säkerheten för MSIs produkter och det bredare teknikekosystemet. Dessa nycklar, avgörande för att verifiera äktheten hos firmwareuppdateringar, kan göra det möjligt för angripare att distribuera skadlig firmware förklädd till legitima uppdateringar, vilket potentiellt kan leda till förödande attacker i leveranskedjan.

Kodsignering är avgörande för digital säkerhet, att säkerställa att programvara och firmware förblir tillförlitliga. MSI-intrånget belyste sårbarheter i nyckelhantering, vilket väckte oro för att angripare kringgår säkerhetsfunktioner som Intel Boot Guard (PressmeddelandeDen här bloggen utforskar MSI-kodsigneringsstölden, dess konsekvenser och hur Encryption Consultings CodeSign Secure kunde ha minskat dessa risker. 

Företagsöversikt 

Micro-Star International (MSI), grundat 1986, är ett globalt erkänt taiwanesiskt teknikföretag med huvudkontor i New Taipei City. MSI har etablerat sig som en ledare inom spel- och professionella datormarknader och erbjuder en varierad produktportfölj, inklusive moderkort, grafikkort, bärbara datorer, stationära datorer, allt-i-ett-datorer, servrar, industridatorer, kringutrustning för konsumenter och spel samt barebonedatorer. Företaget är särskilt känt för sin högpresterande spelhårdvara, med moderkort som stöder de senaste Intel- och AMD-processorerna och grafikkort som drivs av NVIDIA- och AMD-GPU:er.  

Med verksamhet i över 120 länder sysselsätter MSI tusentals människor och har byggt upp ett rykte för innovation och kvalitet. Dess starka närvaro inom e-sportsgemenskapen, där de sponsrar professionella spellag och turneringar, understryker deras marknadsledarskap. För en hårdvaruleverantör som MSI är firmwaresignering en kritisk säkerhetsfunktion, eftersom den säkerställer att endast legitim och omanipulerad firmware kan köras på deras enheter, vilket utgör grunden för en säker startprocess. 

Det är värt att notera att vissa säkerhetsforskare redan före denna incident hade uppmärksammat luckor i MSIs säkerhetsrutiner, såsom firmwareuppdateringar som ibland gjorde Secure Boot mindre effektiv genom att ändra standardinställningarna till "Alltid köras" istället för att tvinga fram signaturverifiering. Emellertid hade ransomware-attacken från 2023, som äventyrade dess kodsignering Nycklarna belyste betydande cybersäkerhetsutmaningar och avslöjade behovet av ett starkt skydd av kritiska digitala tillgångar för att skydda digital information.  

Överträdelsens art och tidslinje 

I april 2023 avslöjade MSI en ransomware-attack av Money Message-gänget, en cyberkriminell grupp känd för att rikta in sig på högprofilerade organisationer. Intrånget, som inträffade i mars 2023, resulterade i stöld av cirka 1.5 terabyte känsliga data, inklusive proprietär källkod och privata kodsigneringsnycklar. Dessa nycklar är viktiga för att verifiera äktheten och integriteten hos MSIs firmwareuppdateringar, och deras kompromettering utgjorde en betydande säkerhetsrisk.  

Efter att ha infiltrerat MSIs system krävde angriparna en lösensumma på 4 miljoner dollar. När MSI vägrade betala läckte Money Message-gänget den stulna informationen på sin mörka webbportal. Den läckta informationen inkluderade: 

  • Firmware-signeringsnycklar för 57 olika datorer, används för att signera UEFI-firmwareuppdateringar.
  • Intel Boot Guard-nycklar för 116 MSI-produkter, inklusive de som är baserade på Intels 11:e (Tiger Lake), 12:e (Alder Lake) och 13:e (Raptor Lake) generationens processorer.

De läckta Intel Boot Guard-nycklarna identifierades som OEM-privata nycklar (Key Manifest och Boot Policy Manifest privata nycklar). Dessa genereras av originalutrustningstillverkaren (OEM), i det här fallet MSI, och "smälts samman" sedan med chipsetet, vilket gör dem till en integrerad del av plattformens betrodda startkedja.  

Dessa nycklar är avgörande för att säkerställa att firmwareuppdateringar är legitima och inte manipulerade. Stölden av dem väckte oro för att angripare kan skapa och distribuera skadliga firmwareuppdateringar som kan kringgå säkerhetsåtgärder som Intel Boot Guard, en hårdvarubaserad funktion utformad för att skydda startprocessen.  

DatumEvent
mars 2023 Money Message-gänget infiltrerar MSIs system, distribuerar ransomware och stjäl 1.5 terabyte data, inklusive kodsigneringsnycklar. 
2 april 2023 MSI avslöjar offentligt cyberattacken och hävdar inledningsvis minimal operativ påverkan. 
Efter den 2 april 2023 Efter att MSI vägrade betala lösensumman läckte angriparna den stulna informationen på den mörka webben, inklusive signeringsnycklar för firmware och Intel Boot Guard-nycklar. 
April 2023 och framåtSäkerhetsforskare analyserade den läckta informationen och bekräftade allvarlighetsgraden av den viktiga intrånget och dess potentiella inverkan på systemsäkerheten.Rapport

Utmaningar 

MSI-kodsigneringsdatastölden presenterade flera komplexa utmaningar som förstärkte dess allvar och gjorde det svårt att mildra dem. oåterkallbarhet av firmware-nycklar var ett betydande hinder, eftersom dessa nycklar ofta är hårdkodade i hårdvaru- eller firmware-avbildningar. Detta händer eftersom vissa kritiska nycklar, särskilt de som utgör roten till förtroendet, "bränns" in i engångsprogrammerbara (OTP) säkringar i systemets chipset (som Platform Controller Hub – PCH) eller en Trusted Platform Module (TPM) under tillverkningsprocessen. Det betyder att de inte enkelt kan återkallas eller ersättas utan att uppdatera själva hårdvaran, vilket är opraktiskt för många användare. Detta utgjorde en ihållande risk, eftersom komprometterade enheter förblev sårbara för attacker. 

En annan utmaning var potentialen för attacker i leveranskedjanMed de stulna nycklarna kunde angripare skapa skadliga firmwareuppdateringar som verkar legitima, vilket gjorde det möjligt för dem att distribuera skadlig programvara via betrodda kanaler. Sådana attacker kan äventyra startprocessen för berörda enheter, vilket möjliggör ihållande infektioner som är svåra att upptäcka eller ta bort. Påverkan på Intel Boot Guard, en hårdvarubaserad säkerhetsfunktion, var särskilt oroande, eftersom komprometteringen av MSIs Boot Guard-nycklar innebar att angripare kunde signera skadlig firmware som kringgår detta skydd, vilket gör det ineffektivt på berörda enheter. 

När Intel Boot Guard väl har komprometterats finns det ingen säker reservmekanism för start i själva hårdvaran för att förhindra att obehörig firmware körs. Detta ökar risken avsevärt för att sofistikerade rootkits och bootkits installeras, vilka fungerar på en nivå under operativsystemet, vilket gör dem extremt svåra för traditionella antivirus- och värdbaserade säkerhetslösningar att upptäcka och ta bort. 

Kundförtroende och rykte stod också på spel, där intrånget urholkade förtroendet för MSIs säkerhetsrutiner. Företaget var tvunget att arbeta för att försäkra sina kunder om att intrånget var begränsat och att åtgärder vidtogs för att minska riskerna. Tekniska åtgärdsinsatser krävde omfattande granskningar för att säkerställa att ingen skadlig firmware hade distribuerats och att MSIs system var säkra mot ytterligare attacker, vilket krävde betydande resurser och expertis. 

Rättsliga och regulatoriska konsekvenser ytterligare ett lager av komplexitet, eftersom stöld av känsliga uppgifter kan få konsekvenser enligt dataskyddslagarna, även om MSI uppgav att inga kunddata komprometterades. Intrånget belyste också potentiella svagheter i MSIs interna revisions- och varningsmekanismer för kritiska digitala tillgångar, vilket tyder på en möjlig brist på kontinuerlig manipulationssäker loggning för nyckelanvändning och åtkomst, eller otillräcklig integration av sådana loggar i ett SIEM-system (Security Information and Event Management) för realtidsövervakning och varningar om misstänkta aktiviteter relaterade till kodsigneringsinfrastruktur. 

Lösning för företagskodsignering

Få en lösning för alla dina behov av kodsignering och kryptografi för mjukvara med vår kodsigneringslösning.

Boka en demo

Inverkan

MSI:s kodsigneringsdatastöld hade långtgående konsekvenser och påverkade MSI, dess kunder och det bredare teknikekosystemet. Den främsta oron var säkerhetsriskerna för användarna, eftersom angripare kunde använda de stulna nycklarna för att signera och distribuera skadliga firmwareuppdateringar. Detta är särskilt farligt eftersom skadlig kod på firmwarenivå, som den ökända LoJax eller den nyare MoonBounce, kan bädda in sig djupt i Unified Extensible Firmware Interface (UEFI) i SPI-flashminnet och effektivt fungera under operativsystemnivån.

När de väl har signerats med legitima nycklar blir den här typen av hot otroligt svåra att upptäcka och ta bort, och överlever ofta ominstallation av operativsystem, byte av hårddisk och till och med fabriksåterställningar, vilket gör dem till ett ihållande och dolt rootkit. Sådana uppdateringar kan göra det möjligt för angripare att få ihållande åtkomst till system, stjäla känsliga data eller till och med göra enheter obrukbara, för både enskilda konsumenter och stora organisationer.  

  • Intrånget belyste sårbarheter i mjukvaruförsörjningskedjan, särskilt i uppdateringsprocessen av firmware. Eftersom angriparna kunde kompromettera kodsigneringsnycklar hade de möjlighet att infoga skadlig kod i leveranskedjan, vilket påverkade flera organisationer och enheter, med den globala kostnaden för attacker i leveranskedjan uppskattad till 46 miljarder dollar från och med 2023 (Rapport).
  • MSI skadade sitt rykte avsevärt, eftersom händelsen sannolikt påverkade kundernas förtroende och marknadsandelar. Företaget var tvunget att ta itu med oro från kunder och partners om säkerheten för sina produkter, vilket potentiellt påverkade framtida försäljning.
  • Finansiella kostnader inkluderade kostnader för att utreda incidenten, implementera åtgärdsåtgärder och potentiellt kompensera berörda parter. Intrånget ledde till långsiktiga ekonomiska konsekvenser om kunder bytte till konkurrenter på grund av säkerhetsproblem.
  • Branschövergripande konsekvenser var anmärkningsvärda, och händelsen fungerade som en väckarklocka för tekniksektorn om vikten av att säkra kodsigneringsnycklar. Det ledde till diskussioner om att förbättra nyckelhanteringspraxis och stärka säkerhetsåtgärderna för firmwareuppdateringar.
  • Kvarstående risker kvarstår, eftersom de komprometterade nycklarna inte enkelt kan återkallas, vilket gör enheter som använder berörda nycklar sårbara om inte användarna uppdaterar sin firmware, vilket kanske inte alltid är möjligt.

Krypteringskonsultföretagets CodeSign Secure 

På Encryption Consulting specialiserar vi oss på att säkra kryptografiska tillgångar och skydda organisationer från hot som MSI-kodsignering, datastöld. Vår CodeSign Secure-lösning erbjuder en robust, flexibel och framtidssäker lösning för att skydda kodsignering processer. MSI-kodsigneringsdataintrånget kunde ha förhindrats eller avsevärt mildrats genom avancerat nyckelskydd, automatisering och efterlevnadsfunktioner.  

Vår CodeSign Secure Plattformen är utformad för att effektivisera och säkra hela kodsigneringslivscykeln, vilket säkerställer att privata nycklar skyddas från stöld eller missbruk. Genom att integrera med branschledande Hårdvarusäkerhetsmoduler (HSM), såsom Thales, Utimaco, nCipher och Fortanix, säkerställer CodeSign Secure att kryptografiska nycklar genereras, lagras och används i en manipulationssäker miljö som överensstämmer med FIPS 140-2 nivå 3-standarder. Detta eliminerar risken för nyckelexponering, även i händelse av ett systemkomprometterat intrång, eftersom nycklar aldrig lämnar HSM. Några andra funktioner i CodeSign Secure är: 

  • Automatiserade kodsigneringsarbetsflöden: CodeSign Secure integreras sömlöst med CI / CD-rörledningar, Såsom Azure DevOps, Jenkinsoch GitLab, vilket automatiserar signeringsprocessen samtidigt som strikta policyer tillämpas. Detta inkluderar stöd för signerade firmware-pipelines, vilket säkerställer att inte bara applikationsbinärfiler utan även kritiska firmware-uppdateringar signeras säkert som en del av den automatiserade bygg- och lanseringsprocessen, vilket minskar mänskliga fel och säkerställer att endast behörig personal kan initiera signeringsåtgärder, vilket förhindrar obehörig nyckelanvändning.
  • Granulära åtkomstkontroller: Vår plattform har rollbaserad åtkomstkontroll (RBAC) och flerfaktorsautentisering (MFA), tillsammans med M of N kvorumgodkännanden, för att begränsa nyckelåtkomst till auktoriserade användare. Detta säkerställer att endast betrodd personal kan komma åt kodsigneringsnycklar, vilket minskar riskerna från nätfiske eller insiderhot.
  • Omfattande revisionsspår: Den tillhandahåller också detaljerade, signerade granskningsloggar för alla signeringshändelser, vilket möjliggör realtidsinsikt och forensisk analys. Korrekt loggning och rapportering gör att du kan upptäcka misstänkt aktivitet tidigt, vilket underlättar en snabbare respons på intrånget. Dessutom säkerställer vårt stöd för säkra tidsstämplar (RFC 3161 och Authenticode-standarder) långsiktig giltighet för signaturer, vilket förbättrar förtroende och efterlevnad.
  • Beredskap för postkvantkryptografi (PQC): Stöd för CodeSign Secure v3.02 NIST-godkända PQC-algoritmer som ML-DSA och LMS, förbereder organisationer för kvanthot. Integrerar PCC Tidiga programvarulanseringar i organisationen gör den framtidssäkrad och lägger till ett extra säkerhetslager, vilket säkerställer motståndskraft mot nya kryptografiska risker.
  • Regelefterlevnad: Våra lösningar uppfyller strikta standarder, inklusive FIPS 140-2, CA / Browser Forumoch GDPR, vilket säkerställer att organisationer uppfyller myndighetskrav samtidigt som de skyddar sin leveranskedja. Integration med sårbarhetsskannrar och programvaruförteckningar (SBOM) förbättrar ytterligare efterlevnad och transparens genom att ge en detaljerad översikt över de problem som en programvara kan innehålla.

Slutsats 

MSI:s kodsigneringsdatastöld 2023 var en avgörande händelse som avslöjade de kritiska sårbarheterna i hanteringen av kryptografiska nycklar. Stölden av firmwaresignering och Intel Boot Guard-nycklar av Money Message-gänget skapade ett ihållande hot mot MSIs kunder och det bredare teknikekosystemet, med potential för förödande attacker i leveranskedjan. Utmaningarna med att återkalla inbäddade nycklar och återställa förtroendet visade komplexiteten i att hantera sådana intrång. 

Denna incident visade den avgörande vikten av policyer för "nollnycklarexport" och robust hårdvarubaserad säkerhet för kritiska nycklar, vilket säkerställer att de aldrig kan extraheras från deras säkra miljö. För att förhindra liknande incidenter måste organisationer anta en proaktiv och kontinuerlig säkerhetsbedömning, inklusive regelbundna granskningar av firmwaresignering, regelbundna nyckelrotationer och omfattande hotmodelleringsövningar för att identifiera och mildra potentiella attackvektorer innan de utnyttjas. 

Lösningar som Encryption Consultings CodeSign Secure och HSM som en tjänst kunde ha förhindrat denna incident genom att säkra nycklar i manipulationssäkra HSM:er, automatisera arbetsflöden och tillämpa strikta åtkomstkontroller. Detta intrång fungerar som en alarmerande uppmaning till organisationer att prioritera kodsigneringssäkerhet och anta robusta lösningar för att skydda sina digitala tillgångar. cyberhot utvecklas är proaktiva åtgärder, expertvägledning och branschsamarbete avgörande för att värna förtroendet i den digitala världen. 

Utforska

Fler ämnen