NVIDII ukradené certifikáty jsou využívány pro Malware, další oběť: Samsung
7.3.2022, Jan Vítek, aktualita
Hackerská skupina LAPSUS$ ukradla NVIDII přibližně jeden terabajt dat, která se od té doby pomalu objevují na veřejnosti. Nyní tu máme téma nejen zneužívaných bezpečnostních certifikátů NVIDIE, problém má i Samsung.
Skupina LAPSUS$ vyzvala NVIDII, aby ze svých grafických ovladačů odstranila LHR těžební omezení a později tento požadavek přehodnotila a a chtěla, aby NVIDIA rovnou ovladače zveřejňovala coby open source. Dalo se očekávat, že na to NVIDIA nepřistoupí, což asi ještě bude mít svou reakci, i když je otázka, čím vším LAPSUS$ skutečně může disponovat.
Má ale v ruce dva podpisové certifikáty, které jsou už nyní zneužívány pro malware. Na to poukázal bezpečnostní výzkumník Florian Roth a vedle toho se dozvídáme od vx-underground, že hackeři zveřejnili také jistý zdrojový kód firmy Samsung.
Dané certifikáty byly zveřejněny společně s kódem technologie DLSS v první várce, přičemž jde o dva, které už jsou vypršelé (2014, 2018). Ovšem operační systém Windows stále umožní, aby ovladače podepsané těmito certifikáty byly použity, čili i nyní jde o bezpečnostní riziko. Je tak třeba počkat na to, až Microsoft zareaguje a uniklé certifikáty cíleně zneplatní a do té doby se tak jimi podepsaný malware může pro Windows jevit jako legitimní software.
Konkrétně se využívají přinejmenším pro jistou variantu Quasar RAT, což je trojan zajišťující útočníkům vzdálený přístup k systému s právy pro čtení i zápis dat, čili tu jde v podstatě o bianco šek k libovolnému způsobu zneužití napadeného počítače.
Obětí hackerů skupiny LAPSUS$ se ale nyní zřejmě stal také Samsung, alespoň samotní hackeři se chlubí, že mu ukradli na 200 GB dat.
Z nich se už rozhodli vypustit do světa zdrojové kódy pro Trusted Aplet instalovaný na všech zařízeních Samsungu se systémem TrustZone, dále jde o algoritmy pro všechny způsoby odemykání zařízení pomocí biometriky, zdrojový kód bootloaderu všech nejnovějších modelů zařízení Samsung, a to včetně ověřovací platformy Knox. Ušetřen tu nezůstal ani Qualcomm, jehož data se do leaku přimíchala včetně jistých neupřesněných zdrojáků.
Tento hack přitom zatím nebyl ze strany Samsungu potvrzen a ani jsme se zatím nedozvěděli, zda LAPSUS$ po této firmě vůbec něco žádají, nebo se prostě už rozhodli vypustit na web všechno zajímavé, co se jim povedlo ukrást.
Zdroj: BleepingComputer