Samsung mogelijk slachtoffer cyberaanval van groep die eerder Nvidia hackte

Ook Samsung is waarschijnlijk gehackt door ransomwarebende Lapsus$. De groepering heeft een recente cyberaanval op het Zuid-Koreaanse bedrijf opgeëist en is begonnen met het publiceren van de buitgemaakte data.

Lapsus$ liet in eerste instantie enkele screenshots van mogelijk gevoelige data van Samsung zien, waarna er nu gecomprimeerde bestanden via een torrent verspreid worden. Volgens Bleeping Computer gaat het om grofweg 190GB aan gestolen data. Mochten de beweringen van de groepering kloppen, dan ligt er zeer gevoelige informatie op straat. Samsung heeft nog niet officieel bevestigd dat het door een cyberaanval getroffen is maar onderzoekt naar eigen zeggen momenteel of er door Lapsus$ een tegenprestatie geëist is; dat was bij de aanval op Nvidia wel het geval.

De oorspronkelijke 'teaser' van de vermeende gestolen Samsung-bestanden

Op basis van de beschrijvingen van de bestanden zou Lapsus$ onder meer broncode van de 'bootloaders van Samsung-apparaten', algoritmes voor biometrische beveiliging en broncode voor het authenticeren van Samsung-accounts hebben buitgemaakt. Ook de broncode van 'alle Trusted Applets geïnstalleerd in Samsungs TrustZone-omgeving' zou gestolen zijn. Hier is uiteenlopende informatie over hardwarecryptografie, binaire versleuteling en toegangsbeheer opgeslagen.

Indirect zou ook Qualcomm getroffen zijn door dezelfde cyberaanval. De ransomwarebende beweert namelijk ook 'vertrouwelijke bronbestanden van Qualcomm' te hebben buitgemaakt bij de Samsung-hack.

De vermeende bestanden die zijn buitgemaakt. Het readme-tekstbestand bevat de gedetailleerde beschrijving van de gestolen data

Update, 12:00: Op basis van de oorspronkelijke titel kon geïnterpreteerd worden dat Nvidia eigen hackers heeft ingezet om Samsung aan te vallen. Dit is natuurlijk niet het geval; het gaat om dezelfde ransomwarebende die eerder een cyberaanval op Nvidia uitvoerde. De titel is verduidelijkt.

Door Yannick Spinner

Redacteur

Feedback • 06-03-2022 10:30
59 • submitter: H1MSELF1SH

06-03-2022 • 10:30

59 Linkedin

Submitter: H1MSELF1SH

Lees meer

'Leider hackersgroep Lapsus$ is 16-jarige Brit' Nieuws van 24 maart 2022
Okta erkent dat klanten zijn getroffen door aanval van Lapsus$ Nieuws van 23 maart 2022
Samsung bevestigt dat 'Galaxy-broncode' is gestolen bij hack Nieuws van 7 maart 2022
Kwaadwillenden gebruiken gestolen Nvidia-certificaten om malware te verspreiden Nieuws van 7 maart 2022
Samsung schort verkoop van producten en diensten in Rusland op Nieuws van 5 maart 2022
Samsung beperkt stiekem prestaties apps op smartphones, en dat zagen we eerder Nieuws van 4 maart 2022
'Samsung beperkt mogelijk prestaties van populaire apps op Galaxy-telefoons' Nieuws van 3 maart 2022
'Broncode Nvidia DLSS en codenamen komende gpu's zijn uitgelekt door criminelen' Nieuws van 1 maart 2022
Nvidia verwacht niet dat bedrijfsvoering verstoord wordt na uitlekken data Nieuws van 1 maart 2022
Ransomwarebende eist dat Nvidia Lite Hash Rate-beperking opheft Nieuws van 28 februari 2022
Meer producten en artikelen
Beveiliging en antivirus Samsung Hack Hackers Ransomware

Reacties (59)

-Moderatie-faq
59
47
16
1
0
8
Wijzig sortering
FricoRico
6 maart 2022 11:07
Ik ben erg benieuwd wat we hiermee te weten komen over Samsung Android devices. Misschien zijn er wat EOL devices die door het unlocken van de bootloader nog de nieuwste Android versies kunnen krijgen vanuit de community?
JapyDooge
@FricoRico6 maart 2022 14:30
Uit het Lapsus$-Telegram channel (had deze meteen bij het verschijnen ook al ingestuurd als nieuwstip, maar ik vermoed dat de redactie dat soort tips negeerd uit veiligheidsoverweging):
SAMSUNG LEAK IS HERE!

Now leaking confidential Samsung source code! Our leak from breach includes:

DEVICES/HARDWARE

-Source code for every Trusted Applet (TA) installed on all samsung device's TrustZone (TEE) with specific code for every type of TEE OS (QSEE, TEEGris etc) THIS INCLUDES DRM MODULES AND KEYMASTER/GATEKEEPER!

-Algorithms for all biometric unlock operations, including source code that communicates directly with sensor (down to the lowest level, we're talking individual RX/TX bitstreams here)

-Bootloader source code for all recent Samsung devices, including Knox data and code for authentication.

-Various other data, confidential source code from Qualcomm.


ONLINE SERVICES

-Samsung activation servers source code (for first-time setup)

-SAMSUNG ACCOUNTS FULL SOURCE CODE! Including Authentication, Identity, API, Services, and many more that wouldn't fit here!

-Various other data.

As always, enjoy! ;)
Edit: het is ook veel meer dan 190GB, dat is de compressed size als .rar.

[Reactie gewijzigd door JapyDooge op 6 maart 2022 14:32]

HollowGamer
@FricoRico6 maart 2022 11:51
Dat kan nu al, Samsung laat je prima die bootloader unlocken - al vervalt wel je garantie en kan er een fuser doorbranden.

Dit gaat meer over crypto, en je hebt goede kans dat je huidige Samsung device door deze lek dus niet meer goed is beveiligd.
IThom
@HollowGamer6 maart 2022 16:02
Amerikaanse toestellen met Qualcomm SoCs hebben die optie de laatste jaren niet gehad.
HollowGamer
@IThom6 maart 2022 21:02
Dat wist ik niet, het unlocken toch wel?

Ik heb altijd Exynos varianten gehad, dan begrijp ik wel waarom @FricoRico daar op wacht. :)
FricoRico
@HollowGamer7 maart 2022 15:01
Ik had het inderdaad over bijvoorbeeld mijn Galaxy Tab S5e, die ik fantastisch vind voor media consumptie. De opvolgers zijn allemaal afgestapt van OLED op dit formaat, groter zou ik niet willen. Maar afgelopen jaar was de laatste Android update (Android 11).

Het zou mij leuk lijken om Android 12 van de nieuwere Galaxy Tabs hierop te kunnen installeren, dus wel de originele Samsung ROM verder.
LongTimeAgo
6 maart 2022 10:44
Titel is een beetje jammer. Dacht heel even dat Nvidia eigen hackers in dienst had...
Maar verder: vraag mij af of Lapsus$ bestaat uit mensen uit 1 land of dat het een groepje is dat verspreid is.

Is er naast geld nog meer beweegredenen waarom ze grote tech bedrijven pakken?

Edit: titel is netjes aangepakt en verduidelijkt!

[Reactie gewijzigd door LongTimeAgo op 6 maart 2022 12:59]

dasiro
@LongTimeAgo6 maart 2022 10:57
als het state-hackers zijn, dan gaan ze de data niet zomaar voor iedereen beschikbaar stellen.
Zoals bij de nvidia-hack duidelijk was willen ze open-source, wat enerzijds nobel is, maar langs de andere kant natuurlijk wel gevaarlijk als iedereen zomaar exploits kan gaan schijven voor gevonden problemen.

Wat wel verontrustend is, is het feit dat ze niet zomaar een klein bedrijfje of startup geslaagd hebben aangevallen, maar 2 van de grootste en belangrijkste techbedrijven ter wereld, wat serieus wat kennis vereist
wildhagen
@dasiro6 maart 2022 11:01
Lapsus$ heeft wel meer gehacked dan alleen Nvidia of Samsung.

Reeds rond de jaarwisseling hebben ze Impresa, de grootste mediagroep van Portugal, gehacked. Kort daarvoor ook al het Braziliaanse Ministerie van Gezondheid. Plus nog enkele andere grotere mediabedrijven in Zuid-Amerika.

Dit lijkt een grotere groep te zijn, die redelijk professioneel te werk gaan. Wie erachter zitten heeft volgens mij nog niemand kunnen ontdekken. Alleen wat speculatie.
The Lapsus ransomware gang first appeared in December having conducted an attack on the Brazil Ministry of Health, which was followed by further attacks in Brazil including the telecommunications operator Claro and the car rental firm Localiza. In January 2021, the gang targeted the Portuguese media conglomerate Impresa, which is the largest in the country. Impresa owns the main TV channel in the country, SIC, and the weekly newspaper Expresso. The attacks in Portuguese-language-speaking countries have led some security experts to believe that the gang could be operating out of Brazil or elsewhere in South America.

The gang differs in its approach to many ransomware gangs which conduct their attacks purely for financial gain. Lapsus appears to be conducting attacks, at least in part, for kudos within the hacking community and is very public about the attacks it conducts – an approach that is proving troublesome for victims.
Zie https://www.netsec.news/lapsus-ransomware/

[Reactie gewijzigd door wildhagen op 6 maart 2022 11:02]

Blokker_1999
@dasiro6 maart 2022 11:18
Wanneer je tegen Nvidia zegt dat ze de LHR beperking ongedaan moeten maken of ze geven alles vrij dan lijkt het mij niet dat hun doel opensource is.
HollowGamer
@dasiro6 maart 2022 11:46
Wat wel verontrustend is, is het feit dat ze niet zomaar een klein bedrijfje of startup geslaagd hebben aangevallen, maar 2 van de grootste en belangrijkste techbedrijven ter wereld, wat serieus wat kennis vereist
Mag ik hier een grote maar achterzetten? Dat een bedrijf groot is, wilt zeker niet zeggen dat het allemaal op orde is op gebied van beveiliging. Tevens moet je afvragen of je überhaupt alles kan dichttimmeren.

Waarschijnlijk is een medewerker gehackt/getroffen door randsomware, en vanuit daar kan je al heel veel doen. Zoals gezegd maakt de grote echt niet uit, dus zelfs een miljarden bedrijf tot MKB kan prima getroffen worden door precies dezelfde hack. Zelfs al zet je iets achter een VPN, dan betekent nog niet dat je data opeens veilig staat en niet ergens terecht kan komen.

Het enige is dat hier cryptokeys lijken te zijn gestolen. M.a.w. zou dit meerdere systemen per direct onveilig maken en ben ik heel erg benieuwd of ze die wel kunnen patchen op afstand.

[Reactie gewijzigd door HollowGamer op 6 maart 2022 11:47]

dasiro
@HollowGamer6 maart 2022 12:42
weten hoe je ergens binnen moet geraken is 1, maar wat soort info te zoeken én vinden dat is toch niet zo makkelijk en je zou bijna denken dat er inside info is geweest
Lvwp
@HollowGamer6 maart 2022 16:54
Crypto keys gestolen? Dat heb ik gemist. Ik zie bijvoorbeeld source code van de Trustzone TEE implementatie maar dit wil niet zeggen dat de keys ook zijn bemachtigd, die zijn, dacht ik, per apparaat verschillend en bij het maken van de ARM processor “ingebrand”.
HollowGamer
@Lvwp6 maart 2022 21:03
Sorry, ik bedoelde niet direct de crypto keys, maar de manier waarop je die (mogelijk) kan ophalen en dus nutteloos kan maken.

Voor ons als hobbyisten natuurlijk mooi, maar overheden zullen er ook blij mee zijn.
Iblies
@dasiro6 maart 2022 12:39
Er zijn verschillende “essentiële” sectoren waarbij overheden aanwijzingen geven dat hun ict beter op orde moet. Alleen ga je op korte en middellange termijn daar echt nog weinig van merken.

nieuws: Hack bij transportbedrijf AH betrof ransomware, levering kaas weer op...
Doordat het automatiseringssysteem van Bakker Logistiek niet meer werkte, moesten alle leveringen handmatig verwerkt worden.
Een ketting is zo sterk als de zwakste schakel en wat je ziet is dat er heel veel ruis op de lijnen zit bij grotere bedrijven onder het motto uitbesteden, besparen, zelfstandigen (zzp).
Frame164
@Iblies6 maart 2022 19:49
Geen enkel bedrijf (groot of klein) kan alles in-house doen. Iedereen heeft partners, vaak in meerdere landen. En om met partners samen te kunnen werken kan je de boel niet dichttimmeren. En verder heb je natuurlijk al je andere externe kanalen die door mogelijke hackers gebruikt kunnen worden. Dus
Lvwp
@Frame1647 maart 2022 22:30
Zero trust….always assume you have been breached…..waarschijnlijk niet 100% zaligmakend maar ….
AuteurYannickSpinner
@LongTimeAgo6 maart 2022 13:06
Dank voor de respectvolle feedback!
J_C
6 maart 2022 11:34
Is dit normaal. Of kan dat iets met de Rusland-Oekraïne crisis te maken hebben?
wildhagen
@J_C6 maart 2022 11:37
Onwaarschijnlijk. De Lapsus-groep is al actief sinds eind vorig jaar, dus ruim voor dit conflict.

Daarnaast lijkt de Lapsus groep zich, gezien hun acties uit het verleden, vooral te richten op Portugees sprekende landen.
The Lapsus ransomware gang first appeared in December having conducted an attack on the Brazil Ministry of Health, which was followed by further attacks in Brazil including the telecommunications operator Claro and the car rental firm Localiza. In January 2021, the gang targeted the Portuguese media conglomerate Impresa, which is the largest in the country. Impresa owns the main TV channel in the country, SIC, and the weekly newspaper Expresso. The attacks in Portuguese-language-speaking countries have led some security experts to believe that the gang could be operating out of Brazil or elsewhere in South America.

The gang differs in its approach to many ransomware gangs which conduct their attacks purely for financial gain. Lapsus appears to be conducting attacks, at least in part, for kudos within the hacking community and is very public about the attacks it conducts – an approach that is proving troublesome for victims.
Zie https://www.netsec.news/lapsus-ransomware/
r03n_d
@wildhagen6 maart 2022 11:51
De Lapsus-groep is al actief sinds eind vorig jaar, dus ruim voor dit conflict.
Sinds de recentste oplaaiing/escalatie van dit conflict. De Krim werd in 2014 geannexeerd door de Russen. Sindsdien is er oorlog geweest in de grensregio’s. Het haalde alleen nooit ons nieuws.
Anoniem: 428562
6 maart 2022 12:39
Een tree listing van wat er in de archieven is opgeslagen vind je hier.
https://sizeof.cat/post/samsung-electronics-leak/

Het zijn 7zip archieven maar opmerkelijk dat bestanden in de archieven niet gecomprimeerd zijn.
m_snel
@Anoniem: 4285626 maart 2022 15:29
Dat scheelt tijd en rekenkracht.
lb2001
6 maart 2022 18:20
Misschien kunnen nu wel die achterlijke beleidsregels van niet te unlocken Snapdragon based toestellen worden omzeild. Dat zou dan wel weer een voordeel zijn van deze hack.
Frame164
@lb20016 maart 2022 19:53
Tsja.... Dan kan je iedere inbraak wel goed gaan praten. Hadden ze de benzine maar niet zo duur moeten maken (na zonder te betalen weg te rijden), de rijen bij de kassa zijn altijd te lang (na zonder te betalen de winkel te verlaten met je spullen.

Je kunt van alles vinden wat beleidsregels maar het is nog altijd de leverancier die bepaald wat wel en niet kan en mag. En als je dat als klant niet ziet zitten koop je het niet.
lb2001
@Frame1646 maart 2022 20:20
Dat is het probleem juist. Jij koopt een apparaat, dan zou jij ook degene moeten zijn die bepaalt wat hij erop installeert. Je wil m een 2e leven geven met een custom rom? Prima toch? Samsung kan zijn beveiligde apps wel uitschakelen als je dat doet, maar om dan maar te blokkeren dat jij een nieuwere software erop zet? Vind ik raar. Dat ze een agreement maken voor hun software, prima. Als je het daar niet mee eens bent, zet je er wat anders op. De hardware blijft immers gewoon werken als je dat doet. Net zoals bij een PC.

Natuurlijk keur ik geen enkele criminele actie goed, hiermee bedoel ik alleen maar te zeggen dat er misschien toch een voordeel in deze hack zit, naast het negatieve nieuws dat andere gevoelige informatie ook op straat ligt.
jimshatt
6 maart 2022 10:39
Ik dacht, waaat, heeft Nvidia eigen hackers!?
k995
6 maart 2022 10:42
Is die titel gemaakt door auto translate? Aub verander die.
Vinny_93
6 maart 2022 10:43
Ik dacht even dat er een juicy feud gaande was tussen Samsung en Nvidia.
anub1s17
6 maart 2022 10:48
huh....omdat nvidia recent gehacked is was de titel voor mij juis duidelijk en helder :P
JackBe
@anub1s176 maart 2022 12:10
Logische titel. Ik zie de titel al groeien in toekomstige berichten: "bedrijf x is mogelijk getroffen door omvangrijke cyberaanval van Nvidia-hackers en Samsung-hackers. :+
C. C.
6 maart 2022 11:03
Welke bedrijven hebben wat aan die informatie? In landen met schijt aan copyright?!
HakanX
@C. C.6 maart 2022 22:38
Toevallig eentje die ook de grootste techcenter van de wereld is. Verder zullen alle (staats)hackers en "beveiligingsbedrijven" die hacktools verkopen aan o.a. overheden hiervan smullen. Goudmijntje. Hobbyisten zullen ook wel even zoet zijn met de mogelijkheden hiervan om hun device meer van hunzelf te maken.
1 2

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee