Grupa LAPSUS$, što se pokazalo da hakuje NVIDIA infrastrukturu, ad nedavno hak sličan Samsung-u na njegovom Telegram kanalu, na šta je Samsung potvrdio da je pretrpio kršenje podataka u kojem su ukradene osjetljive informacije, uključujući izvorni kod njegovih Galaxy pametnih telefona.
Krađa se dogodila krajem prošle sedmice, a radilo se o Lapsus$, istoj hakerskoj grupi koja je stajala iza Nvidia krađe podataka, kako je objavljeno 1. marta. Lapsus$ tvrdi da je ukrao 190 gigabajta podataka, uključujući izvorni kod apleta Trust, algoritme za operacije biometrijskog otključavanja, izvorni kod pokretača i povjerljivi Qualcomm izvorni kod.
grupa takođe tvrdio da je ukrao izvorni kod sa Samsungovog servera za aktivaciju, Samsung račune i izvorni kod i razne druge podatke.
Nejasan je oblik napada koji je rezultirao krađom podataka. Lapsus$ je poznat po svojim ransomware napadima, ali to nije jedini tip napada u kojem banda učestvuje. Kao i kod Nvidije, Samsungov hak je možda bio jednostavna krađa podataka i iznuda, a ne direktna upotreba ransomwarea.
Samsung službeno naziva krađu kao "provalu sigurnosti koja se odnosi na određene interne podatke kompanije".
"Na osnovu naše početne analize, kršenje uključuje izvorni kod koji se odnosi na rad Galaxy uređaja, ali ne uključuje lične podatke naših potrošača ili zaposlenih", navodi Samsung u izjavi koju je prenio Sammobile. “Trenutno ne očekujemo nikakav uticaj na naše poslovanje ili klijente. Poduzeli smo mjere kako bismo spriječili daljnje ovakve incidente i nastavit ćemo pružati usluge našim klijentima bez prekida."
Izvještava se da je procurilo oko 190 GB podataka, uključujući izvorni kod za različite Samsung proizvode, pokretače, mehanizme za autentifikaciju i identifikaciju, servere za aktivaciju, sistem sigurnosti mobilnih uređaja Knox, online usluge, API-je, kao i vlasničke komponente koje isporučuje Qualcomm, uključujući najavu prijema koda svih TA- apleti (Trusted Applet) koji rade u izolovanoj hardverskoj enklavi zasnovanoj na TrustZone tehnologiji (TEE), kodu za upravljanje ključevima, DRM modulima i komponentama za obezbeđivanje biometrijske identifikacije.
Podaci su objavljeni u javnom vlasništvu i sada su dostupni na torrent trackerima. Što se tiče prethodnog ultimatuma NVIDIA-e da se vozači prebace na besplatnu dozvolu, navodi se da će rezultat biti objavljen naknadno.
“Trojanske aplikacije koje prikupljaju kontakte i vjerodajnice iz drugih aplikacija, kao što su bankarske aplikacije, prilično su uobičajene na Androidu, ali mogućnost probijanja biometrije telefona ili zaključanog ekrana ograničena je na visokofinansirane aktere prijetnji, uključujući špijunažu koju sponzorira država. ” Casey Bisson, voditeljica odnosa s proizvodima i programerima u firmi za sigurnost koda BluBracket
"Procureli izvorni kod mogao bi znatno olakšati manje dobro finansiranim akterima prijetnji da izvrše sofisticiranije napade na sigurnije karakteristike Samsung uređaja."
Primjećeno je da bi ukradeni kod mogao omogućiti sofisticirane napade kao što je razbijanje zaključanog ekrana telefona, eksfiltriranje podataka pohranjenih u Samsung TrustZone okruženju i napade nultim klikom koji instaliraju stalna pozadinska vrata na telefone žrtava.
U torrentu je uključen i kratak opis sadržaja dostupnog u svakom od tri fajla:
- Dio 1 sadrži dump izvornog koda i povezane podatke o sigurnosti/odbrani/knoxu/bootloaderu/pouzdanim aplikacijama i raznim drugim stavkama
- Dio 2 sadrži dump izvornog koda i podatke koji se odnose na sigurnost uređaja i šifriranje.
- Treći dio sadrži različita Samsung Github spremišta: Mobile Defense Engineering, Samsung Account Backend, Samsung Pass Backend/Frontend i SES (Bixby, Smartthings, Store)
Nejasno je da li je Lapsus$ kontaktirao Samsung za otkup, kako su tvrdili u slučaju Nvidia.
Konačno ako ste zainteresovani da saznate nešto više o tome, možete provjeriti detalje Na sledećem linku.