Discussione News Attacchi a NVIDIA e Samsung: enormi data leak per entrambe le compagnie

Stato
Discussione chiusa ad ulteriori risposte.

0xbro

Super Moderatore
24 Febbraio 2017
4,161
163
3,210
1,645
Ultima modifica:
NVIDIA e Samsung sono state di recente vittime di massicci data leak causati dallo stesso gruppo di criminali. Scopriamo assieme cosa è successo alle due compagnie.​

hacked_samsung_nvidia.png

Attacchi a NVIDIA e Samsung: enormi data leak per entrambe le compagnie​

Tempo di lettura stimato: 7 min​








1    Introduzione

Come riportato dalla pagine ufficiale di NVIDIA relativa agli incidenti informatici, il 23 Febbraio 2022 l'azienda ha scoperto di esser stata vittima di un massiccio dataleak.​
"We have no evidence of ransomware being deployed on the NVIDIA environment or that this is related to the Russia-Ukraine conflict. However, we are aware that the threat actor took employee passwords and some NVIDIA proprietary information from our systems and has begun leaking it online. Our team is working to analyze that information. All employees have been required to change their passwords. We do not anticipate any disruption to our business or our ability to serve our customers as a result of the incident."
Secondo quanto riportato dalle fonti interne di NVIDIA, l'attacco non sarebbe riconducibile al conflitto tra Russia e Ucraina, né ci sarebbero prove che gli attaccanti abbiano impiantato dei ransomware all'interno dell'azienda. NVIDIA afferma però di essere al corrente del fatto che le credenziali di diversi dipendenti siano state compromesse, così come sono state trafugate e diffuse diverse informazioni relative alla loro proprietà intellettuale... ma esattamente qual è l'entità del danno?

2    Il DataLeak

Secondo Have I Been Pwned, noto sito web contenente la maggior parte dei data leaks mai avvenuti, gli attaccanti sono entrati in possesso di circa 70.000 email e relativi hash delle password dei dipendenti, riuscendo a craccarne anche alcune (che sono successivamente state pubblicate online).
Secondo l'ultimo report annuale di NVIDIA, l'azienda ha un totale di quasi 19.000 dipendenti: stando a questo dato è possibile dunque gli gli attaccanti siano riusciti a mettere le mani non solo sui dati dei dipendenti attuali, ma anche su tutto lo storico dell'azienda (non si spiegherebbero sennò i 70k di utenti).​
Uocf5ij.png

AVvXsEii3J00MebcAOKA2UyMkFLnEO-YpWlmryuekqNupBk94q74dDBb1FL2ENKUEm3Ki_QsrukfIED8XbM_bsdvKsyfWUxBHI5xTLgNC3ihURSHGibqWW4LMnxIKyh9Cdyz8NmlF158w_JL_WHldvTA5bZ9xJBH8KrA1OL6aG_DhJzhjePxyADy-TmI3MTL
Oltre ai dati degli utenti, però, LAPSUS$ (il gruppo criminale che ha portato a compimento l'attacco seoncdo la fonti di Threat Intelligence DarkTracer) ha rubato anche parte della proprietà intellettuale di NVIDIA, tra cui progetti futuri i cui dettagli dovrebbero rimanere segreti, come i codici sorgente della tecnologia DLSS (Deep Learning Super Sampling), codici sorgente dei driver GPU, LHR e altro.



3    Le richieste di LAPSUS$

La richiesta del gruppo in cambio della non pubblicazione di ulteriori dati è davvero particolare: LAPSUS$ vuole che NVIDIA rilasci per sempre i propri driver in maniera Open Source e che rimuova la tecnologia LHR da tutte le GPU serie-30 in modo da permettere nuovamente di poter minare con prestazioni accettabili (attualmente ridotte del 50%).
image.png

4    Attaccanti hackerati dalla stessa NVIDIA?

Secondo alcune fonti sembrerebbe che il gruppo, se seguito dell'attacco, sia stato a sua volta attaccato (forse dalla stessa NVIDIA) e che i dati rubati gli siano stati criptati. Ovviamente il gruppo LAPSUS$ riporta di aver fatto un backup prima di subire l'attacco, per cui il massivo data leak non è andato perso ma anzi, è custodito in luogo sicuro.


Una successione di eventi al quanto buffa (soprattutto per la reazione degli attaccanti - non molto pacata -) ma che comunque rivela in che modo il gruppo abbia avuto accesso alla rete e in che modo abbia subito l'hack-back.


5    Il Caso Samsung

1W7Brsu.png

A quanto pare, lo stesso gruppo Lapsus$ ha attaccato negli scorsi giorni anche Samsung. Sono stati rilasciati circa 190GB di dati privati e svariati codici sorgenti, tra cui:​
  • Trusted Applet installate nell'ambiente Samsung TrustZone usato per operazioni in sicurezza
  • algoritmi per tutte le operazioni di sblocco biometrico
  • bootloader di tutti i recenti dispositivi Samsung
  • codice riservato da Qualcomm
  • server di attivazione Samsung
  • codice sorgente completo usato per autorizzare e autenticare gli account Samsung, comprese API e servizi
3EeKcjL.png

Samsung-data.jpg

Attualmente non è chiaro che tipo di contatti ci sia stato con l'azienda o se ci siano state richieste pubbliche (come fatto con NVIDIA ). Inoltre non è nemmeno chiara la time-line dell'attaco o in che modo l'attacco sia stato portato a termine. Vedremo se ci saranno news nei prossimi giorni, ma è chiaro che Samsung dovrà trovare un modo per proteggere i dati di milioni di potenziali utenti, nonchè dei dati a loro trafugati.​
Messaggio unito automaticamente:

E' arrivata la conferma del leak anche da parte di Samsung, che ammette siano stati sottratti codici sorgente relativi ai dispositivi della linea "Galaxy", ma che comunque tranquillizza dicendo che i dati degli utenti e dei dipendenti non sono stati compromessi.
“There was a security breach relating to certain internal company data,” said Samsung in a statement reported by Bloomberg News and SamMobile. “According to our initial analysis, the breach involves some source code relating to the operation of Galaxy devices, but does not include the personal information of our consumers or employees. Currently, we do not anticipate any impact to our business or customers. We have implemented measures to prevent further such incidents and will continue to serve our customers without disruption.”
- The Verge, Samsung confirms hackers stole Galaxy source code
 

nfvblog

Moderatore
9 Dicembre 2021
532
47
227
338
Ultima modifica:

Attacchi a NVIDIA e Samsung: enormi data leak per entrambe le compagnie​

Tempo di lettura stimato: 7 min​








1    Introduzione

Come riportato dalla pagine ufficiale di NVIDIA relativa agli incidenti informatici, il 23 Febbraio 2022 l'azienda ha scoperto di esser stata vittima di un massiccio dataleak.

Secondo quanto riportato dalle fonti interne di NVIDIA, l'attacco non sarebbe riconducibile al conflitto tra Russia e Ucraina, né ci sarebbero prove che gli attaccanti abbiano impiantato dei ransomware all'interno dell'azienda. NVIDIA afferma però di essere al corrente del fatto che le credenziali di diversi dipendenti siano state compromesse, così come sono state trafugate e diffuse diverse informazioni relative alla loro proprietà intellettuale... ma esattamente qual è l'entità del danno?

2    Il DataLeak

Secondo Have I Been Pwned, noto sito web contenente la maggior parte dei data leaks mai avvenuti, gli attaccanti sono entrati in possesso di circa 70.000 email e relativi hash delle password dei dipendenti, riuscendo a craccarne anche alcune (che sono successivamente state pubblicate online).
Secondo l'ultimo report annuale di NVIDIA, l'azienda ha un totale di quasi 19.000 dipendenti: stando a questo dato è possibile dunque gli gli attaccanti siano riusciti a mettere le mani non solo sui dati dei dipendenti attuali, ma anche su tutto lo storico dell'azienda (non si spiegherebbero sennò i 70k di utenti).​
Uocf5ij.png

AVvXsEii3J00MebcAOKA2UyMkFLnEO-YpWlmryuekqNupBk94q74dDBb1FL2ENKUEm3Ki_QsrukfIED8XbM_bsdvKsyfWUxBHI5xTLgNC3ihURSHGibqWW4LMnxIKyh9Cdyz8NmlF158w_JL_WHldvTA5bZ9xJBH8KrA1OL6aG_DhJzhjePxyADy-TmI3MTL
Oltre ai dati degli utenti, però, LAPSUS$ (il gruppo criminale che ha portato a compimento l'attacco seoncdo la fonti di Threat Intelligence DarkTracer) ha rubato anche parte della proprietà intellettuale di NVIDIA, tra cui progetti futuri i cui dettagli dovrebbero rimanere segreti, come i codici sorgente della tecnologia DLSS (Deep Learning Super Sampling), codici sorgente dei driver GPU, LHR e altro.



3    Le richieste di LAPSUS$

La richiesta del gruppo in cambio della non pubblicazione di ulteriori dati è davvero particolare: LAPSUS$ vuole che NVIDIA rilasci per sempre i propri driver in maniera Open Source e che rimuova la tecnologia LHR da tutte le GPU serie-30 in modo da permettere nuovamente di poter minare con prestazioni accettabili (attualmente ridotte del 50%).
image.png

4    Attaccanti hackerati dalla stessa NVIDIA?

Secondo alcune fonti sembrerebbe che il gruppo, se seguito dell'attacco, sia stato a sua volta attaccato (forse dalla stessa NVIDIA) e che i dati rubati gli siano stati criptati. Ovviamente il gruppo LAPSUS$ riporta di aver fatto un backup prima di subire l'attacco, per cui il massivo data leak non è andato perso ma anzi, è custodito in luogo sicuro.


Una successione di eventi al quanto buffa (soprattutto per la reazione degli attaccanti - non molto pacata -) ma che comunque rivela in che modo il gruppo abbia avuto accesso alla rete e in che modo abbia subito l'hack-back.


5    Il Caso Samsung

1W7Brsu.png

A quanto pare, lo stesso gruppo Lapsus$ ha attaccato negli scorsi giorni anche Samsung. Sono stati rilasciati circa 190GB di dati privati e svariati codici sorgenti, tra cui:​
  • Trusted Applet installate nell'ambiente Samsung TrustZone usato per operazioni in sicurezza
  • algoritmi per tutte le operazioni di sblocco biometrico
  • bootloader di tutti i recenti dispositivi Samsung
  • codice riservato da Qualcomm
  • server di attivazione Samsung
  • codice sorgente completo usato per autorizzare e autenticare gli account Samsung, comprese API e servizi
3EeKcjL.png

Samsung-data.jpg

Attualmente non è chiaro che tipo di contatti ci sia stato con l'azienda o se ci siano state richieste pubbliche (come fatto con NVIDIA ). Inoltre non è nemmeno chiara la time-line dell'attaco o in che modo l'attacco sia stato portato a termine. Vedremo se ci saranno news nei prossimi giorni, ma è chiaro che Samsung dovrà trovare un modo per proteggere i dati di milioni di potenziali utenti, nonchè dei dati a loro trafugati.​
Messaggio unito automaticamente:

E' arrivata la conferma del leak anche da parte di Samsung, che ammette siano stati sottratti codici sorgente relativi ai dispositivi della linea "Galaxy", ma che comunque tranquillizza dicendo che i dati degli utenti e dei dipendenti non sono stati compromessi.

Ogni tanto arrivano questo tipo di leak, tipicamente sottratti con degli attacchi oppure divulgati da qualche ex dipendente, notizia di un anno fa furono i sorgenti integrali e facilmente compilabili di Windows xp e Windows server 2003, che si diffusero tramite un nodo torrent, effettivamente il rischio in quel caso era che alcuni componenti di xp fossero presenti nei nuovi sistemi, perché come ben si sa, microsoft ricicla il codice "come tutti" esponendo anche i sistemi appena usciti a vulnerabilità non ancora rilevate
 

0xbro

Super Moderatore
24 Febbraio 2017
4,161
163
3,210
1,645
Dopo Nvidia e Samsung, LAPSUS$ torna a far tremare le aziende! Di seguito il sondaggio postato sul loro canale telegram:

Vodafone.png

Nel mirino quindi anche Vodafone (anche se sembra trattarsi solo della succursale Portoghese). Di seguito le dichiarazioni dell'azienda:
“We are investigating the claim together with law enforcement, and at this point we cannot comment on the credibility of the claim. [...] However, what we can say is that generally the types of repositories referenced in the claim contain proprietary source code and do not contain customer data.”
- Cnbc,
Vodafone investigating threat from hackers behind Samsung breach to leak source code
 
  • Mi piace
Reazioni: nfvblog

Kode

Utente Emerald
10 Dicembre 2013
1,226
81
371
623
Che belli i data leaks...cosi ho del materiale per divertirmi un pò con quel che so di data analytics (si lo so, sono strano). Mi fa sempre ridere vedere come chiedano di inserire roba in open-source (i driver NVIDIA ad esempio).
 

0xbro

Super Moderatore
24 Febbraio 2017
4,161
163
3,210
1,645
A quanto pare sembra che alcuni membri del gruppo LAPSUS$ siano stati identificati e arrestati.
La cosa sconcertante è che entrambi i membri sono davvero molto giovani: si parla di due ragazzi, uno di 23 anni residente in sud America, e l'altro di 16 residente nel Regno Unito.

Il gruppo nelle ultime settimane aveva attaccato e lekato dati di altre grosse aziende, tra cui Okta, Ubisoft e Microsoft.
 
  • Mi piace
Reazioni: haxo
Stato
Discussione chiusa ad ulteriori risposte.