LAPSUS$-ryhmä, joka osoittautui hakkeroivaksi NVIDIA-infrastruktuurin, Mainoksen äskettäin Samsungin kaltainen hakkerointi Telegram-kanavallaan, jolle Samsung vahvisti joutuneensa tietomurtoon, jossa varastettiin arkaluonteisia tietoja, mukaan lukien sen Galaxy-älypuhelimien lähdekoodi.
Varkaus tapahtui viime viikon lopulla ja se oli Lapsus$, sama hakkeriryhmä, joka oli Nvidian tietovarkauden takana, kuten 1. maaliskuuta ilmoitettiin. Lapsus$ väittää varastaneensa 190 gigatavua dataa, mukaan lukien Trust Applet -lähdekoodi, biometristen lukituksen avaustoimintojen algoritmit, käynnistyslataimen lähdekoodi ja luottamuksellinen Qualcomm-lähdekoodi.
ryhmä myös väitti varastaneensa lähdekoodin Samsungin aktivointipalvelimelta, Samsung-tilit ja lähdekoodi sekä monet muut tiedot.
Tietovarkaukseen johtaneen hyökkäyksen muoto on epäselvä. Lapsus$ tunnetaan ransomware-hyökkäyksistään, mutta se ei ole ainoa hyökkäystyyppi, johon jengi osallistuu. Samoin kuin Nvidian tapauksessa, Samsungin hakkerointi saattoi olla yksinkertaista datavarkautta ja kiristystä eikä suoraa kiristysohjelmien käyttöä.
Samsung kutsuu varkautta virallisesti "tietoturvaloukkaukseksi, joka liittyy tiettyihin yrityksen sisäisiin tietoihin".
"Alkuperäisen analyysimme perusteella tietomurto sisältää Galaxy-laitteiden toimintaan liittyvää lähdekoodia, mutta se ei sisällä kuluttajiemme tai työntekijöidemme henkilökohtaisia tietoja", Samsung sanoi Sammobilen raportoimassa lausunnossa. ”Tällä hetkellä emme odota vaikutusta liiketoimintaamme tai asiakkaisiimme. Olemme toteuttaneet toimenpiteitä tällaisten tapausten uusien ehkäisemiseksi ja palvelemme asiakkaitamme edelleen keskeytyksettä."
On raportoitu, että noin 190 Gt dataa on vuotanut, mukaan lukien lähdekoodi useille Samsung-tuotteille, käynnistyslataimet, todennus- ja tunnistusmekanismit, aktivointipalvelimet, Knox-mobiililaitteiden turvajärjestelmä, online-palvelut, API:t sekä Qualcommin toimittamat komponentit, mukaan lukien ilmoitus kaikkien TA-sovelmien koodin vastaanottamisesta (Trusted Applet) toimii eristetyssä laitteistossa, joka perustuu TrustZone-tekniikkaan (TEE), avaintenhallintakoodiin, DRM-moduuleihin ja komponentteihin biometrisen tunnistamisen mahdollistamiseksi.
Tiedot on julkaistu julkisesti ja ovat nyt saatavilla torrent-seurantaohjelmissa. Mitä tulee NVIDIAn aikaisempaan uhkavaatimukseen siirtää ajurit vapaaseen lisenssiin, tuloksen kerrotaan julkistavan myöhemmin.
"Troijalaiset sovellukset, jotka keräävät yhteystietoja ja tunnistetietoja muista sovelluksista, kuten pankkisovellukset, ovat melko yleisiä Androidissa, mutta kyky murtaa puhelimen biometriset tiedot tai lukitusnäyttö on rajoitettu runsaasti rahoitettuihin uhkatoimijoihin, mukaan lukien valtion tukema vakoilu." Casey Bisson, kooditurvayrityksen BluBracketin tuote- ja kehittäjäsuhdepäällikkö
"Vuotanut lähdekoodi saattaa helpottaa huomattavasti vähemmän rahoitettujen uhkatoimijoiden kykyä suorittaa kehittyneempiä hyökkäyksiä Samsung-laitteiden turvallisempia ominaisuuksia vastaan."
Todettiin, että varastettu koodi voi mahdollistaa kehittyneitä hyökkäyksiä, kuten puhelimen lukitusnäytön murtamisen, Samsung TrustZone -ympäristöön tallennettujen tietojen suodattamisen ja nollanapsautushyökkäykset, jotka asentavat pysyviä takaovia uhrien puhelimiin.
Torrentissa on myös lyhyt kuvaus kunkin kolmen tiedoston sisällöstä:
- Osa 1 sisältää lähdekoodivedosten ja siihen liittyviä tietoja Security/Defense/Knox/Bootloader/TrustedApps ja useista muista kohteista
- Osa 2 sisältää lähdekoodivedoksen sekä laitteen turvallisuuteen ja salaukseen liittyviä tietoja.
- Osa 3 sisältää useita Samsung Github -varastoja: Mobile Defense Engineering, Samsung Account Backend, Samsung Pass Backend/Frontend ja SES (Bixby, Smartthings, Store)
On epäselvää, ottiko Lapsus$ yhteyttä Samsungiin lunnaiden saamiseksi, kuten he väittivät Nvidian tapauksessa.
Vihdoin jos olet kiinnostunut tietämään asiasta hieman enemmän, voit tarkistaa yksityiskohdat Seuraavassa linkissä.