Grupa LAPSUS$, który okazał się włamać do infrastruktury NVIDIA, ogłoszenie niedawno hack podobny do Samsunga na swoim kanale Telegram, w którym Samsung potwierdził, że doszło do naruszenia bezpieczeństwa danych, w wyniku którego skradzione zostały poufne informacje, w tym kod źródłowy smartfonów Galaxy.
Kradzież miała miejsce pod koniec ubiegłego tygodnia i była to Lapsus$, ta sama grupa hakerów, która stała za kradzieżą danych Nvidii, jak podano 1 marca. Lapsus$ twierdzi, że ukradł 190 gigabajtów danych, w tym kod źródłowy Trust Applet, algorytmy operacji odblokowania biometrycznego, kod źródłowy programu ładującego i poufny kod źródłowy Qualcomm.
grupa też twierdził, że ukradł kod źródłowy z serwera aktywacyjnego Samsunga, konta Samsung i kod źródłowy oraz różne inne dane.
Forma ataku, który skutkował kradzieżą danych, jest niejasna. Lapsus$ jest znany z ataków ransomware, ale to nie jedyny rodzaj ataku, w którym bierze udział gang. Podobnie jak w przypadku Nvidii, hack Samsung mógł polegać na zwykłej kradzieży danych i wyłudzeniu, a nie bezpośrednim użyciu oprogramowania ransomware.
Samsung oficjalnie określa kradzież jako „naruszenie bezpieczeństwa związane z pewnymi wewnętrznymi danymi firmy”.
„Na podstawie naszej wstępnej analizy naruszenie obejmuje pewien kod źródłowy związany z działaniem urządzeń Galaxy, ale nie obejmuje danych osobowych naszych konsumentów ani pracowników” – powiedział Samsung w oświadczeniu zgłoszonym przez Sammobile. „Obecnie nie przewidujemy żadnego wpływu na naszą działalność ani klientów. Wdrożyliśmy środki, aby zapobiec dalszym takim incydentom i będziemy nadal służyć naszym klientom bez przerwy”.
Podobno wyciekło około 190 GB danych, w tym kod źródłowy różnych produktów Samsung, programy ładujące, mechanizmy uwierzytelniania i identyfikacji, serwery aktywacji, system bezpieczeństwa urządzeń mobilnych Knox, usługi online, interfejsy API, a także autorskie komponenty dostarczane przez Qualcomm, w tym zapowiedź otrzymania kodu wszystkich TA- aplety (Trusted Applet) działające w izolowanej enklawie sprzętowej w oparciu o technologię TrustZone (TEE), kod zarządzania kluczami, moduły DRM i komponenty zapewniające identyfikację biometryczną.
Dane zostały udostępnione publicznie i są teraz dostępne na trackerach torrentów. Jeśli chodzi o poprzednie ultimatum NVIDII dotyczące przeniesienia sterowników na wolną licencję, poinformowano, że wynik zostanie ogłoszony później.
„Aplikacje trojańskie, które zbierają kontakty i dane uwierzytelniające z innych aplikacji, takich jak aplikacje bankowe, są dość powszechne na Androidzie, ale możliwość złamania danych biometrycznych telefonu lub ekranu blokady jest ograniczona do wysoko finansowanych cyberprzestępców, w tym sponsorowanych przez państwo szpiegów. ” Casey Bisson, szef ds. relacji z produktami i programistami w firmie zajmującej się bezpieczeństwem kodu BluBracket
„Wyciekły kod źródłowy może znacznie ułatwić mniej dobrze finansowanym cyberprzestępcom przeprowadzanie bardziej wyrafinowanych ataków na bezpieczniejsze funkcje urządzeń Samsung”.
Zauważono, że skradziony kod może umożliwić wyrafinowane ataki, takie jak złamanie ekranu blokady telefonu, wydobycie danych przechowywanych w środowisku Samsung TrustZone oraz ataki typu zero-click, które instalują trwałe tylne drzwi na telefonach ofiar.
W torrent znajduje się również krótki opis zawartości dostępnej w każdym z trzech plików:
- Część 1 zawiera zrzut kodu źródłowego i powiązane dane dotyczące Security/Defense/Knox/Bootloader/TrustedApps i różnych innych elementów
- Część 2 zawiera zrzut kodu źródłowego oraz dane związane z bezpieczeństwem i szyfrowaniem urządzenia.
- Część 3 zawiera różne repozytoria Samsung Github: Mobile Defense Engineering, Samsung Account Backend, Samsung Pass Backend/Frontend i SES (Bixby, Smartthings, Store)
Nie jest jasne, czy Lapsus$ skontaktował się z Samsungiem w sprawie okupu, jak twierdzili w sprawie Nvidii.
W końcu jeśli chcesz dowiedzieć się czegoś więcej na ten tematmożesz sprawdzić szczegóły W poniższym linku.