RANSOMWARE LAPSUS$

Samsung, rubati 190 GB di dati e codice sorgente dei dispositivi Galaxy

Lapsus$, lo stesso gruppo criminale dietro il recente attacco informatico a Nvidia, ha rivendicato anche il furto di 190 GB ai danni di Samsung, che ha confermato la notizia: nel data leak sono compresi dati aziendali interni e il codice sorgente dei dispositivi Galaxy, ma nessun dato personale di clienti e dipendenti. Ecco cosa si sa finora

07 Mar 2022
F
Dario Fadda

Research Infosec, fondatore Insicurezzadigitale.com

Il gruppo criminale Lapsus$, noto per attacchi di tipo ransomware e che ha recentemente copito anche NVIDIA, ha rivendicato nella serata di venerdì scorso, 4 marzo, un attacco informatico rivolto al gigante tecnologico sudcoreano Samsung.

Il risultato di questo attacco, un’esfiltrazione di file dalle macchine dell’azienda, è stato condiviso con i metodi ormai consolidati dal gruppo criminale e cioè tramite canale Telegram. Il data leak comprende 190 GB di dati per i quali, presumibilmente, è stato richiesto un riscatto a Samsung, anche se al momento non ne è apparsa alcuna rivendicazione pubblica.

Lapsus$ ransomware attacca Samsung

Il gruppo Lapsus$ ha affermato di essere riuscito a violare i server Samsung e ha pubblicato online quasi 190 GB di dati sensibili, inclusi codici sorgente originali di applicazioni sviluppate dall’azienda e dati di vari progetti relativi ai dispositivi Galaxy.

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy

Il data leak è stato distribuito, appunto, tramite il canale Telegram a cui Lapsus$ fa capo per comunicare le proprie operazioni, sotto forma di condivisione su rete Torrent, suddivisa in 3 file per migliorarne la velocità di trasferimento. Il gran numero di peer torrent attivi su questi dati fa il resto del lavoro (circa 400 quelli attivi a poche ore dalla comunicazione).

Cosa contiene l’archivio di Samsung trapelato?

In base alle indicazioni fornite dal gruppo Lapsus$ stesso, l’attacco avrebbe consentito ai criminal hacker di esfiltrare dati interni del colosso della tecnologia tra cui:

  • codice sorgente per ogni Trusted Applet (TA) installato su tutti i dispositivi Samsung TrustZone (TEE) con codice specifico per ogni tipo di TEE OS (QSEE, TEEGris ecc.);
  • algoritmi per tutte le operazioni di sblocco biometrico, incluso il codice sorgente che comunica direttamente con il sensore;
  • codice sorgente del bootloader per tutti i dispositivi Samsung recenti, inclusi i dati Knox e il codice per l’autenticazione;
  • vari altri dati come codice sorgente non pubblico di Qualcomm.

L’attacco a Samsung, vista la quantità e la rilevanza dei file resi pubblici, potrebbe essere considerato di importanza strategica per l’azienda e può esporre fortemente il colosso sudcoreano al rischio reputazionale, oltre che, dal punto di vista tecnico, rivelare segreti importanti che utenti malintenzionati possono utilizzare in futuro per altri attacchi contro dispositivi e software marchiati Samsung.

La risposta di Samsung

In realtà, secondo quanto riportato da The Verge, Samsung non ha confermato o negato l’identità degli hacker, né se hanno rubato o meno i dati relativi alla crittografia e biometrici. La società ha invece confermato che nessun dato personale, appartenente a dipendenti o clienti, è stato rubato.

“C’è stata una violazione della sicurezza relativa ad alcuni dati aziendali interni”, ha detto Samsung in una dichiarazione riportata da Bloomberg News e SamMobile. “Secondo la nostra analisi iniziale, la violazione coinvolge alcuni codici sorgente relativi al funzionamento dei dispositivi Galaxy, ma non include le informazioni personali dei nostri consumatori o dipendenti. Attualmente, non prevediamo alcun impatto sulla nostra attività o sui nostri clienti. Abbiamo implementato misure per prevenire ulteriori incidenti di questo tipo e continueremo a servire i nostri clienti senza interruzioni”.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4