LAPSUS$ grupė, kuris pasirodė esąs įsilaužęs į NVIDIA infrastruktūrą, Reklama neseniai įsilaužimas, panašus į „Samsung“ savo „Telegram“ kanale, kuriam „Samsung“ patvirtino, kad patyrė duomenų pažeidimą, kurio metu buvo pavogta neskelbtina informacija, įskaitant jos „Galaxy“ išmaniųjų telefonų šaltinio kodą.
Vagystė įvyko praėjusios savaitės pabaigoje ir tai buvo Lapsus$, ta pati įsilaužėlių grupė, kuri buvo už Nvidia duomenų vagystės, kaip pranešta kovo 1 d. Lapsus$ teigia pavogęs 190 gigabaitų duomenų, įskaitant Trust Applet šaltinio kodą, biometrinių atrakinimo operacijų algoritmus, įkrovos šaltinio kodą ir konfidencialų Qualcomm šaltinio kodą.
grupė taip pat teigė pavogęs šaltinio kodą iš „Samsung“ aktyvinimo serverio, „Samsung“ paskyros ir šaltinio kodas bei įvairūs kiti duomenys.
Išpuolio, pasibaigusio duomenų vagyste, forma neaiški. Lapsus$ yra žinomas dėl savo išpirkos reikalaujančių atakų, tačiau tai nėra vienintelis išpuolių tipas, kuriame dalyvauja gauja. Kaip ir „Nvidia“, „Samsung“ įsilaužimas galėjo būti paprasčiausias duomenų vagystės ir turto prievartavimas, o ne tiesioginis išpirkos reikalaujančių programų naudojimas.
„Samsung“ vagystę oficialiai vadina „saugumo pažeidimu, susijusiu su tam tikrais vidiniais įmonės duomenimis“.
„Remiantis mūsų pradine analize, pažeidimas apima tam tikrą šaltinio kodą, susijusį su „Galaxy“ įrenginių veikimu, bet neapima mūsų vartotojų ar darbuotojų asmeninės informacijos“, – sakoma „Samsung“ pranešime, kurį pranešė „Sammobile“. „Šiuo metu nenumatome jokio poveikio mūsų verslui ar klientams. Įgyvendinome priemones, kad išvengtume tolesnių tokių incidentų ir toliau nepertraukiamai aptarnausime savo klientus.
Pranešama, kad nutekėjo apie 190 GB duomenų, įskaitant įvairių „Samsung“ produktų šaltinio kodą, įkrovos įkroviklius, autentifikavimo ir identifikavimo mechanizmus, aktyvinimo serverius, „Knox“ mobiliųjų įrenginių saugos sistemą, internetines paslaugas, API, taip pat patentuotus „Qualcomm“ tiekiamus komponentus, įskaitant pranešimą apie visų TA programėlių kodo gavimą. (Patikima programėlė), veikianti izoliuotame aparatūros anklave, pagrįsta TrustZone (TEE) technologija, raktų valdymo kodu, DRM moduliais ir komponentais, užtikrinančiais biometrinį identifikavimą.
Duomenys buvo paskelbti viešai ir dabar yra prieinami torrent stebėjimo priemonėse. Kalbant apie ankstesnį NVIDIA ultimatumą perkelti vairuotojus į nemokamą licenciją, pranešama, kad rezultatas bus paskelbtas vėliau.
„Trojos programos, renkančios kontaktus ir kredencialus iš kitų programų, pvz., banko programų, yra gana paplitusios „Android“, tačiau galimybė nulaužti telefono biometrinius duomenis arba užrakinimo ekraną apsiribojo tik labai finansuojamomis grėsmės veikėjomis, įskaitant valstybės remiamą šnipinėjimą. Casey Bisson, ryšių su gaminiais ir kūrėjais vadovas iš kodų saugos įmonės „BluBracket“.
„Dėl nutekėjusio šaltinio kodo mažiau finansuojamiems grėsmių subjektams gali būti daug lengviau vykdyti sudėtingesnes atakas prieš saugesnes Samsung įrenginių funkcijas.
Pastebėta, kad pavogtas kodas gali įgalinti sudėtingas atakas, tokias kaip telefono užrakinimo ekrano nulaužimas, Samsung TrustZone aplinkoje saugomų duomenų išfiltravimas ir nulinio paspaudimo atakos, kurios įrengia nuolatines užpakalines duris aukų telefonams.
Taip pat į torrentą įtrauktas trumpas kiekvieno iš trijų failų turinio aprašymas:
- 1 dalyje yra šaltinio kodo išvestis ir susiję duomenys apie Security / Defense / Knox / Bootloader / TrustedApps ir įvairius kitus elementus
- 2 dalyje yra šaltinio kodo ištrauka ir duomenys, susiję su įrenginio sauga ir šifravimu.
- 3 dalyje yra įvairių Samsung Github saugyklų: Mobile Defense Engineering, Samsung Account Backend, Samsung Pass Backend/Frontend ir SES (Bixby, Smartthings, Store)
Neaišku, ar Lapsus$ susisiekė su Samsung dėl išpirkos, kaip jie teigė Nvidia byloje.
Pagaliau jei jus domina šiek tiek daugiau apie tai, galite patikrinti išsamią informaciją Šioje nuorodoje.