LAPSUS$-gruppen, som viste sig at hacke NVIDIA-infrastrukturen, annonce for nylig et hack svarende til Samsung i sin Telegram-kanal, hvortil Samsung bekræftede, at de led et databrud, hvor følsomme oplysninger blev stjålet, herunder kildekoden til deres Galaxy-smartphones.
Tyveriet skete i slutningen af sidste uge, og det var Lapsus$, den samme hackergruppe, der stod bag Nvidia-datatyveriet, som rapporteret den 1. marts. Lapsus$ hævder at have stjålet 190 gigabyte data, inklusive Trust Applet-kildekode, algoritmer til biometriske oplåsningsoperationer, bootloader-kildekode og fortrolig Qualcomm-kildekode.
gruppen også hævdede at have stjålet kildekoden fra Samsungs aktiveringsserver, Samsung-konti og kildekode og forskellige andre data.
Formen for angrebet, der resulterede i datatyveriet, er uklart. Lapsus$ er kendt for sine ransomware-angreb, men det er ikke den eneste type angreb, som banden deltager i. Som med Nvidia kan Samsung-hacket have været simpelt datatyveri og afpresning i stedet for direkte brug af ransomware.
Samsung omtaler officielt tyveriet som et "sikkerhedsbrud relateret til visse interne virksomhedsdata."
"Baseret på vores indledende analyse involverer bruddet noget kildekode relateret til driften af Galaxy-enheder, men inkluderer ikke personlige oplysninger om vores forbrugere eller medarbejdere," sagde Samsung i en erklæring rapporteret af Sammobile. "I øjeblikket forventer vi ingen indvirkning på vores forretning eller kunder. Vi har implementeret foranstaltninger for at forhindre yderligere sådanne hændelser og vil fortsætte med at betjene vores kunder uden afbrydelser."
Det rapporteres, at omkring 190 GB data blev lækket, inklusive kildekode til forskellige Samsung-produkter, bootloadere, autentificerings- og identifikationsmekanismer, aktiveringsservere, Knox mobilenhedssikkerhedssystem, onlinetjenester, API'er samt proprietære komponenter leveret af Qualcomm, inklusive meddelelsen om modtagelse af koden for alle TA-applets (Trusted Applet) kører i en isoleret hardware-enklave baseret på TrustZone (TEE)-teknologi, nøglestyringskode, DRM-moduler og komponenter for at give biometrisk identifikation.
Dataene er blevet frigivet til det offentlige domæne og er nu tilgængelige på torrent-trackere. Angående NVIDIAs tidligere ultimatum om at overføre driverne til en gratis licens, forlyder det, at resultatet vil blive offentliggjort senere.
"Trojanske apps, der henter kontakter og legitimationsoplysninger fra andre apps, såsom bankapps, er ret almindelige på Android, men evnen til at knække en telefons biometri eller låseskærm har været begrænset til højtfinansierede trusselsaktører, inklusive statssponsoreret spionage. ” Casey Bisson, leder af produkt- og udviklerrelationer hos kodesikkerhedsfirmaet BluBracket
"Den lækkede kildekode kan gøre det væsentligt lettere for mindre velfinansierede trusselsaktører at udføre mere sofistikerede angreb på de mere sikre funktioner i Samsung-enheder."
Det blev bemærket, at den stjålne kode kunne muliggøre sofistikerede angreb, såsom at knække en telefons låseskærm, eksfiltrerende data gemt i Samsung TrustZone-miljøet og nul-klik-angreb, der installerer vedvarende bagdøre på ofrenes telefoner.
Også inkluderet i torrenten er en kort beskrivelse af indholdet tilgængeligt i hver af de tre filer:
- Del 1 indeholder et kildekodedump og relaterede data om sikkerhed/forsvar/Knox/Bootloader/TrustedApps og forskellige andre elementer
- Del 2 indeholder et kildekodedump og data relateret til enhedssikkerhed og kryptering.
- Del 3 indeholder forskellige Samsung Github-lagre: Mobile Defense Engineering, Samsung Account Backend, Samsung Pass Backend/Frontend og SES (Bixby, Smartthings, Store)
Det er uklart, om Lapsus$ kontaktede Samsung for løsesum, som de hævdede i Nvidia-sagen.
Endelig hvis du er interesseret i at vide lidt mere om det, kan du kontrollere detaljerne I det følgende link.