黑客公开海量源代码！英伟达和三星遭殃了

3月7日消息，专业收集恶意软件样本的网站vx-underground在社交媒体发布消息，称目前正在攻击NVIDIA的黑客组织LAPSUS$将矛头指向了三星。

图源：新浪微博

据悉，3月4日，Lapsus$先是预告性地发布了一张以「三星」作为关键词的截图，其中包含了各种C/C++指令集。

很快，Lapsus$公布了部分从三星服务器中窃取的源代码信息，用以展示自己的战果。

从已经放出的信息来看，LAPSUS$已经成功获取了三星TrustZone环境中用于敏感操作，如硬件密码学、二进制加密、访问控制的每一个受信任小程序的源代码。

此外，三星目前采用的生物特征解锁操作的算法、设备的引导加载程序源代码、甚至高通的机密源代码、用于授权和验证三星账户的技术和全部源代码等重要数据也都被LAPSUS$攥在手中。

这对于三星而言，将是一场灭顶之灾，无论对三星自己，还是对高通等客户，以及对三星用户，都是不折不扣的灾难。

据悉，Lapsus$将泄露的数据分成三个压缩文件，加起来差不多有190GB，目前已经有400多个同行在分享这些内容。与此同时，Lapsus$还表示，接下来将部署更多的服务器来提高下载速度。

除了代码以外，Lapsus$还提供了关于档案内容的简要说明：

第一部分：包含源代码的转储和有关安全/防御/Knox/Bootloader/TrustedApps和其他各种项目的相关数据。

第二部分：包含源代码的转储和有关设备安全和加密的相关数据。

第三部分：包含来自三星Github的各种存储库：移动防御工程、三星账户后台、三星通后台/前端和SES(Bixby、Smartthings、商店)。

如果Lapsus$没有bluff的话，那么三星这次恐怕是遭遇了前所未有的数据泄露，其可能造成的损失也是不可估量的。

目前LAPSUS$尚未对攻克三星一事进行如此大规模的宣扬，也没有提出任何要求。尚不清楚黑客为何攻击三星，提出了什么压球，是否有利益上的勒索，三星也暂时没有任何公开评论。

图源：新浪微博

此前，NVIDIA遭到黑客组织Lapsus$攻击，盗取了1TB机密数据，其中有NVIDIAAda/Hopper/Blackwell架构代号，甚至还有DLSS源代码，并公开叫卖破解RTX30系列显卡挖矿限制的算法，以此威胁NVIDIA，要求NVIDIA对其RTXGPU驱动程序开源和解除RTX30系列显卡挖矿限制。

据已下载到数据的网友对内容进行的分析，发现了许多重要数据。比如英伟达将发布的40系列显卡中的旗舰代号AD102，具有384位总线、显存24GB，二级缓存来到了96MB。

面对黑客的威胁，NVIDIA称本次攻击不会让公司的业务受到任何干扰，也不会影响对客户的服务。但也承认黑客确实窃取了一些信息，随后迅速加强网络安全，联络安全专家(黑客反击)，并通知了警方。

在NVIDIA没有回应其要求后，黑客组织泄露了71355条NVIDIA员工个人信息。这其中包含大量个人邮件地址，以及HTRLMHash加密的密码，且很多已经被破解，并在黑客圈内流传。

NVIDIA目前在全球有超过2万名员工，这意味着绝大部分员工的多条个人信息都已经被泄露，据称英伟达已经在内部要求员工更新密码。

3月5日，Lapsus$表示他们可能推迟泄露机密数据的时间，并表示他们正在与买家谈判，准备以100万美元的价格把数据买出去。并表示，以上只是泄露数据的冰山一角，Lapsus$说只要英伟达满足他们的要求，他们就会删除一个hw大文件夹，那里面有英伟达显卡的原理图、源代码。

图源：pixabay

NVIDIA拒绝支付赎金后，在线查毒平台VirusTotal显示，黑客已经开始尝试用证书给远程访问木马签名了。

根据上传到VirusTotal恶意软件扫描服务的样本，被盗的证书被用来签署各种恶意软件和黑客工具，如CobaltStrike信标、Mimikatz、后门和远程访问木马。

除了上面所说的木马外，还有人用证书对Windows驱动程序进行签名。虽然用于签名的证书已经过期，但仍然会对Windows系统造成风险。

微软企业和操作系统安全总监DavidWeston在Twitter上给出了对策：以管理员身份配置WindowsDefender应用程序控制策略，这样就能控制可以加载哪些驱动程序，防止病毒被加载到系统中。

然而，使用这种方法比较复杂，并不适合电脑小白。有人建议微软撤销对这两个英伟达过期证书的许可，但这又有可能导致真的英伟达驱动程序被阻止。

虽然系统自带反病毒软件不好使，但由VirusTotal的扫描结果显示，现在的杀毒软件很多能发现伪装的病毒，事情可能并没有想象的那么糟。

Lapsus$在业内并不太知名，他们第一次用勒索软件攻击是在去年12月，当时他们攻击了巴西卫生部，窃取了50TB的数据，包括巴西公民的疫苗接种信息。后来，Lapsus$还攻击过葡萄牙的一家媒体公司和南美的电信公司。英伟达是他们成功攻击的第一家科技巨头。