O grupo LAPSUS$, que provou hackear a infraestrutura da NVIDIA, anunciou faz pouco um hack semelhante ao Samsung em seu canal Telegram, ao qual a Samsung confirmou que sofreu uma violação de dados em que informações confidenciais foram roubadas, incluindo o código-fonte de seus smartphones Galaxy.
O roubo aconteceu no final da semana passada e foi Lapsus$, o mesmo grupo de hackers que estava por trás do roubo de dados da Nvidia, conforme relatado em 1º de março. Lapsus$ alega ter roubado 190 gigabytes de dados, incluindo o código-fonte do Trust Applet, algoritmos para operações de desbloqueio biométrico, código-fonte do carregador de inicialização e código-fonte confidencial da Qualcomm.
o grupo também alegou ter roubado o código-fonte do servidor de ativação da Samsung, contas Samsung e código-fonte e vários outros dados.
A forma de ataque que resultou no roubo de dados não é clara. Lapsus$ é conhecido por seus ataques de ransomware, mas não é o único tipo de ataque em que a quadrilha participa. Assim como na Nvidia, o hack da Samsung pode ter sido um simples roubo e extorsão de dados, em vez de uso direto de ransomware.
A Samsung se refere oficialmente ao roubo como uma “violação de segurança relacionada a certos dados internos da empresa”.
"Com base em nossa análise inicial, a violação envolve algum código-fonte relacionado à operação dos dispositivos Galaxy, mas não inclui informações pessoais de nossos consumidores ou funcionários", disse a Samsung em comunicado divulgado pela Sammobile. “Atualmente, não prevemos nenhum impacto em nossos negócios ou clientes. Implementamos medidas para evitar mais incidentes desse tipo e continuaremos a atender nossos clientes sem interrupção".
É relatado que cerca de 190 GB de dados foram vazados, incluindo código-fonte para vários produtos Samsung, carregadores de inicialização, mecanismos de autenticação e identificação, servidores de ativação, sistema de segurança de dispositivo móvel Knox, serviços online, APIs, bem como componentes proprietários fornecidos pela Qualcomm, incluindo o anúncio de recebimento do código de todos os applets TA (Trusted Applet) executado em um enclave de hardware isolado baseado na tecnologia TrustZone (TEE), código de gerenciamento de chaves, módulos e componentes DRM para fornecer identificação biométrica.
Os dados foram lançados em domínio público e agora estão disponíveis em rastreadores de torrent. Em relação ao ultimato anterior da NVIDIA de transferir os drivers para uma licença gratuita, informa-se que o resultado será anunciado posteriormente.
“Aplicativos trojans que coletam contatos e credenciais de outros aplicativos, como aplicativos bancários, são bastante comuns no Android, mas a capacidade de quebrar a biometria ou a tela de bloqueio de um telefone tem sido limitada a agentes de ameaças altamente financiados, incluindo espionagem patrocinada pelo estado.” Casey Bisson, chefe de relações de produtos e desenvolvedores da empresa de segurança de código BluBracket
“O código-fonte vazado pode tornar substancialmente mais fácil para os agentes de ameaças menos bem financiados executarem ataques mais sofisticados nos recursos mais seguros dos dispositivos Samsung”.
Observou-se que o código roubado pode permitir ataques sofisticados, como quebrar a tela de bloqueio de um telefone, exfiltrar dados armazenados no ambiente Samsung TrustZone e ataques de clique zero que instalam backdoors persistentes nos telefones das vítimas.
Também incluído no torrent está uma breve descrição do conteúdo disponível em cada um dos três arquivos:
- A Parte 1 contém um dump de código-fonte e dados relacionados sobre Segurança/Defesa/Knox/Bootloader/TrustedApps e vários outros itens
- A Parte 2 contém um dump do código-fonte e dados relacionados à segurança e criptografia do dispositivo.
- A Parte 3 contém vários repositórios do Samsung Github: Mobile Defense Engineering, Samsung Account Backend, Samsung Pass Backend/Frontend e SES (Bixby, Smartthings, Store)
Não está claro se a Lapsus$ entrou em contato com a Samsung para pedir resgate, como eles alegaram no caso da Nvidia.
Finalmente se você estiver interessado em saber um pouco mais sobre isso, você pode verificar os detalhes no link a seguir.