【CSDN 编者按】2022年2月26日,英伟达遭到黑客组织Lapsus$攻击,大量员工信息以及近1TB的数据被窃取。Lapsus$要求英伟达公布所有产品上限制显卡挖矿性能的LHR (Lite Hash Rate),否则会将所有数据公开。由于英伟达并未做出任何举措,Lapsus$泄露了大量的员工信息和多达20GB的文件存档。除此之外,泄露的内容中还包括两个被盗的代码签名证书,用于英伟达开发人员签署驱动程序和可执行文件。
英伟达代码签名证书遭泄露
在Lapsus$泄露英伟达的代码签名证书后, 安全研究人员发现这些证书被用于签署恶意软件和使用其他工具。
根据上传到VirusTotal恶意软件扫描服务的样本,被盗证书被用于签署各种黑客工具,例如 Cobalt Strike信标和Mimikatz等等。
例如,其中一名用户使用该证书对Quasar远程访问木马VirusTotal签名,而有的还使用该证书对Windows驱动程序VirusTotal进行签名。
Quasar RAT由英伟达证书签名(图源自BleepingComputer)
尽管两个被盗的证书均已过期,但Windows仍允许将使用证书签名的驱动程序加载到操作系统中。
因此,如果使用这些被盗的证书,使用者就能使他们的恶意驱动程序看起来像合法的程序并能够由Windows加载。
由于英伟达对此一直没有最初回应,3月4日,黑客发出最后通牒:Windows、Linux和macOS系统的GPU驱动必须在今天内开源,否则将公开全部的1TB机密数据。
三星也未能幸免?泄露多达190GB文件
不仅如此,据BleepingComputer报道,当天Lapsus$还公布了大量三星的机密数据。其中包括:
三星TrustZone环境中安装的每个受信任小程序 (TA) 的源代码,用于硬件加密、二进制加密、访问控制等;
所有生物特征解锁操作的算法;
所有最新三星设备的引导加载程序源代码;
来自高通的机密源代码;
三星激活服务器的源代码;
用于授权和验证三星账户的技术的完整源代码,包括API和服务。
Lapsus$将窃取数据拆分为三个压缩文件,这些文件增加了近 190GB,并以torrent形式提供,其中包括400多项内容。Lapsus$还表示,将提供更多服务器以提高下载速度。
图源自BleepingComputer
同时Lapsus$还对文件夹中的每个文档的内容进行了简要说明:
第1部分为有关Security/Defense/Knox/Bootloader/TrustedApps以及其他项目的源代码和相关数据的转储;
第2部分为有关设备安全和加密的源代码及其相关数据的转储;
第3部分包含三星Github的各种存储库:移动防御工程、三星账户后端、三星通行证后端/前端和SES(Bixby、Smartthings、商店)。
若上述消息准确,三星将遭受重大数据泄露,公司可能面临巨大损害。目前我们尚不清楚Lapsus$是否向三星索要赎金,我们也将继续跟进具体情况,敬请期待。
【参考资料】
https://www.bleepingcomputer.com/news/security/hackers-leak-190gb-of-alleged-samsung-data-source-code/
https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/
https://www.bleepingcomputer.com/news/security/hackers-to-nvidia-remove-mining-cap-or-we-leak-hardware-data/
《新程序员001-004》全面上市,对话世界级大师,报道中国IT行业创新创造