Η ομάδα LAPSUS$, που αποδείχθηκε ότι χακάρει την υποδομή της NVIDIA, ανακοίνωσε πρόσφατα ένα hack παρόμοιο με τη Samsung στο κανάλι της στο Telegram, στην οποία η Samsung επιβεβαίωσε ότι υπέστη παραβίαση δεδομένων κατά την οποία κλάπηκαν ευαίσθητες πληροφορίες, συμπεριλαμβανομένου του πηγαίο κώδικα των smartphone Galaxy της.
Η κλοπή συνέβη στα τέλη της περασμένης εβδομάδας και ήταν η Lapsus$, η ίδια ομάδα χάκερ που βρισκόταν πίσω από την κλοπή δεδομένων της Nvidia, όπως αναφέρθηκε την 1η Μαρτίου. Η Lapsus$ ισχυρίζεται ότι έχει κλέψει 190 gigabyte δεδομένων, συμπεριλαμβανομένου του πηγαίου κώδικα της Trust Applet, των αλγορίθμων για λειτουργίες βιομετρικού ξεκλειδώματος, του πηγαίου κώδικα του boot loader και του εμπιστευτικού πηγαίου κώδικα της Qualcomm.
η ομάδα επίσης ισχυρίστηκε ότι έκλεψε τον πηγαίο κώδικα από τον διακομιστή ενεργοποίησης της Samsung, Λογαριασμοί Samsung και πηγαίος κώδικας και διάφορα άλλα δεδομένα.
Η μορφή επίθεσης που οδήγησε στην κλοπή δεδομένων είναι ασαφής. Το Lapsus$ είναι γνωστό για τις επιθέσεις ransomware του, αλλά δεν είναι το μόνο είδος επίθεσης στην οποία συμμετέχει η συμμορία. Όπως και με τη Nvidia, το hack της Samsung μπορεί να ήταν απλή κλοπή δεδομένων και εκβιασμός αντί για άμεση χρήση ransomware.
Η Samsung αναφέρεται επίσημα στην κλοπή ως «παραβίαση ασφαλείας που σχετίζεται με ορισμένα εσωτερικά δεδομένα της εταιρείας».
«Με βάση την αρχική μας ανάλυση, η παραβίαση περιλαμβάνει κάποιο πηγαίο κώδικα που σχετίζεται με τη λειτουργία των συσκευών Galaxy, αλλά δεν περιλαμβάνει τα προσωπικά στοιχεία των καταναλωτών ή των υπαλλήλων μας», ανέφερε η Samsung σε δήλωση που ανέφερε η Sammobile. «Προς το παρόν, δεν αναμένουμε καμία επίδραση στην επιχείρηση ή στους πελάτες μας. Έχουμε εφαρμόσει μέτρα για την αποτροπή περαιτέρω τέτοιων περιστατικών και θα συνεχίσουμε να εξυπηρετούμε τους πελάτες μας χωρίς διακοπή».
Αναφέρεται ότι διέρρευσαν περίπου 190 GB δεδομένων, συμπεριλαμβανομένου πηγαίου κώδικα για διάφορα προϊόντα Samsung, φορτωτές εκκίνησης, μηχανισμούς ελέγχου ταυτότητας και αναγνώρισης, διακομιστές ενεργοποίησης, σύστημα ασφαλείας φορητών συσκευών Knox, διαδικτυακές υπηρεσίες, API, καθώς και ιδιόκτητα στοιχεία που παρέχονται από την Qualcomm, συμπεριλαμβανομένης της ανακοίνωσης λήψης του κωδικού όλων των TA- μικροεφαρμογές (Trusted Applet) που εκτελούνται σε απομονωμένο θύλακα υλικού με βάση την τεχνολογία TrustZone (TEE), τον κωδικό διαχείρισης κλειδιών, τις μονάδες DRM και τα στοιχεία για την παροχή βιομετρικής αναγνώρισης.
Τα δεδομένα έχουν κυκλοφορήσει στο δημόσιο τομέα και είναι πλέον διαθέσιμα σε torrent trackers. Σχετικά με το προηγούμενο τελεσίγραφο της NVIDIA για μεταφορά των προγραμμάτων οδήγησης σε δωρεάν άδεια, αναφέρεται ότι το αποτέλεσμα θα ανακοινωθεί αργότερα.
«Οι Trojan εφαρμογές που συλλέγουν επαφές και διαπιστευτήρια από άλλες εφαρμογές, όπως εφαρμογές τραπεζών, είναι αρκετά κοινές στο Android, αλλά η δυνατότητα σπάσιμο των βιομετρικών στοιχείων ή της οθόνης κλειδώματος ενός τηλεφώνου έχει περιοριστεί σε φορείς απειλών με υψηλή χρηματοδότηση, συμπεριλαμβανομένης της κρατικής χορηγίας. ” Casey Bisson, επικεφαλής των σχέσεων προϊόντων και προγραμματιστών στην εταιρεία ασφάλειας κώδικα BluBracket
«Ο πηγαίος κώδικας που διέρρευσε θα μπορούσε να διευκολύνει σημαντικά τους λιγότερο καλά χρηματοδοτούμενους παράγοντες απειλών να εκτελούν πιο εξελιγμένες επιθέσεις στις πιο ασφαλείς λειτουργίες των συσκευών Samsung».
Σημειώθηκε ότι ο κλεμμένος κώδικας θα μπορούσε να επιτρέψει εξελιγμένες επιθέσεις, όπως σπάσιμο της οθόνης κλειδώματος ενός τηλεφώνου, εξαγωγή δεδομένων που είναι αποθηκευμένα στο περιβάλλον της Samsung TrustZone και επιθέσεις μηδενικού κλικ που εγκαθιστούν επίμονες κερκόπορτες στα τηλέφωνα των θυμάτων.
Στο torrent περιλαμβάνεται επίσης μια σύντομη περιγραφή του περιεχομένου που είναι διαθέσιμο σε καθένα από τα τρία αρχεία:
- Το Μέρος 1 περιέχει μια ένδειξη πηγαίου κώδικα και σχετικά δεδομένα για την Ασφάλεια/Άμυνα/Knox/Bootloader/TrustedApps και διάφορα άλλα στοιχεία
- Το Μέρος 2 περιέχει μια ένδειξη πηγαίου κώδικα και δεδομένα που σχετίζονται με την ασφάλεια και την κρυπτογράφηση της συσκευής.
- Το Μέρος 3 περιέχει διάφορα αποθετήρια Samsung Github: Mobile Defense Engineering, Samsung Account Backend, Samsung Pass Backend/Frontend και SES (Bixby, Smartthings, Store)
Δεν είναι σαφές εάν η Lapsus$ επικοινώνησε με τη Samsung για λύτρα, όπως ισχυρίστηκαν στην υπόθεση Nvidia.
Τελικά αν σας ενδιαφέρει να μάθετε λίγα περισσότερα για αυτό, μπορείτε να ελέγξετε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.