Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

Samsung mogelijk slachtoffer cyberaanval van groep die eerder Nvidia hackte

Ook Samsung is waarschijnlijk gehackt door ransomwarebende Lapsus$. De groepering heeft een recente cyberaanval op het Zuid-Koreaanse bedrijf opgeëist en is begonnen met het publiceren van de buitgemaakte data.

Lapsus$ liet in eerste instantie enkele screenshots van mogelijk gevoelige data van Samsung zien, waarna er nu gecomprimeerde bestanden via een torrent verspreid worden. Volgens Bleeping Computer gaat het om grofweg 190GB aan gestolen data. Mochten de beweringen van de groepering kloppen, dan ligt er zeer gevoelige informatie op straat. Samsung heeft nog niet officieel bevestigd dat het door een cyberaanval getroffen is maar onderzoekt naar eigen zeggen momenteel of er door Lapsus$ een tegenprestatie geëist is; dat was bij de aanval op Nvidia wel het geval.

De oorspronkelijke 'teaser' van de vermeende gestolen Samsung-bestanden

Op basis van de beschrijvingen van de bestanden zou Lapsus$ onder meer broncode van de 'bootloaders van Samsung-apparaten', algoritmes voor biometrische beveiliging en broncode voor het authenticeren van Samsung-accounts hebben buitgemaakt. Ook de broncode van 'alle Trusted Applets geïnstalleerd in Samsungs TrustZone-omgeving' zou gestolen zijn. Hier is uiteenlopende informatie over hardwarecryptografie, binaire versleuteling en toegangsbeheer opgeslagen.

Indirect zou ook Qualcomm getroffen zijn door dezelfde cyberaanval. De ransomwarebende beweert namelijk ook 'vertrouwelijke bronbestanden van Qualcomm' te hebben buitgemaakt bij de Samsung-hack.

De vermeende bestanden die zijn buitgemaakt. Het readme-tekstbestand bevat de gedetailleerde beschrijving van de gestolen data

Update, 12:00: Op basis van de oorspronkelijke titel kon geïnterpreteerd worden dat Nvidia eigen hackers heeft ingezet om Samsung aan te vallen. Dit is natuurlijk niet het geval; het gaat om dezelfde ransomwarebende die eerder een cyberaanval op Nvidia uitvoerde. De titel is verduidelijkt.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Yannick Spinner

Redacteur

06-03-2022 • 10:30

59 Linkedin

Submitter: H1MSELF1SH

Reacties (59)

Wijzig sortering
Ik ben erg benieuwd wat we hiermee te weten komen over Samsung Android devices. Misschien zijn er wat EOL devices die door het unlocken van de bootloader nog de nieuwste Android versies kunnen krijgen vanuit de community?
Uit het Lapsus$-Telegram channel (had deze meteen bij het verschijnen ook al ingestuurd als nieuwstip, maar ik vermoed dat de redactie dat soort tips negeerd uit veiligheidsoverweging):
SAMSUNG LEAK IS HERE!

Now leaking confidential Samsung source code! Our leak from breach includes:

DEVICES/HARDWARE

-Source code for every Trusted Applet (TA) installed on all samsung device's TrustZone (TEE) with specific code for every type of TEE OS (QSEE, TEEGris etc) THIS INCLUDES DRM MODULES AND KEYMASTER/GATEKEEPER!

-Algorithms for all biometric unlock operations, including source code that communicates directly with sensor (down to the lowest level, we're talking individual RX/TX bitstreams here)

-Bootloader source code for all recent Samsung devices, including Knox data and code for authentication.

-Various other data, confidential source code from Qualcomm.


ONLINE SERVICES

-Samsung activation servers source code (for first-time setup)

-SAMSUNG ACCOUNTS FULL SOURCE CODE! Including Authentication, Identity, API, Services, and many more that wouldn't fit here!

-Various other data.

As always, enjoy! ;)
Edit: het is ook veel meer dan 190GB, dat is de compressed size als .rar.

[Reactie gewijzigd door JapyDooge op 6 maart 2022 14:32]

Dat kan nu al, Samsung laat je prima die bootloader unlocken - al vervalt wel je garantie en kan er een fuser doorbranden.

Dit gaat meer over crypto, en je hebt goede kans dat je huidige Samsung device door deze lek dus niet meer goed is beveiligd.
Amerikaanse toestellen met Qualcomm SoCs hebben die optie de laatste jaren niet gehad.
Dat wist ik niet, het unlocken toch wel?

Ik heb altijd Exynos varianten gehad, dan begrijp ik wel waarom @FricoRico daar op wacht. :)
Ik had het inderdaad over bijvoorbeeld mijn Galaxy Tab S5e, die ik fantastisch vind voor media consumptie. De opvolgers zijn allemaal afgestapt van OLED op dit formaat, groter zou ik niet willen. Maar afgelopen jaar was de laatste Android update (Android 11).

Het zou mij leuk lijken om Android 12 van de nieuwere Galaxy Tabs hierop te kunnen installeren, dus wel de originele Samsung ROM verder.
Titel is een beetje jammer. Dacht heel even dat Nvidia eigen hackers in dienst had...
Maar verder: vraag mij af of Lapsus$ bestaat uit mensen uit 1 land of dat het een groepje is dat verspreid is.

Is er naast geld nog meer beweegredenen waarom ze grote tech bedrijven pakken?

Edit: titel is netjes aangepakt en verduidelijkt!

[Reactie gewijzigd door LongTimeAgo op 6 maart 2022 12:59]

als het state-hackers zijn, dan gaan ze de data niet zomaar voor iedereen beschikbaar stellen.
Zoals bij de nvidia-hack duidelijk was willen ze open-source, wat enerzijds nobel is, maar langs de andere kant natuurlijk wel gevaarlijk als iedereen zomaar exploits kan gaan schijven voor gevonden problemen.

Wat wel verontrustend is, is het feit dat ze niet zomaar een klein bedrijfje of startup geslaagd hebben aangevallen, maar 2 van de grootste en belangrijkste techbedrijven ter wereld, wat serieus wat kennis vereist
Lapsus$ heeft wel meer gehacked dan alleen Nvidia of Samsung.

Reeds rond de jaarwisseling hebben ze Impresa, de grootste mediagroep van Portugal, gehacked. Kort daarvoor ook al het Braziliaanse Ministerie van Gezondheid. Plus nog enkele andere grotere mediabedrijven in Zuid-Amerika.

Dit lijkt een grotere groep te zijn, die redelijk professioneel te werk gaan. Wie erachter zitten heeft volgens mij nog niemand kunnen ontdekken. Alleen wat speculatie.
The Lapsus ransomware gang first appeared in December having conducted an attack on the Brazil Ministry of Health, which was followed by further attacks in Brazil including the telecommunications operator Claro and the car rental firm Localiza. In January 2021, the gang targeted the Portuguese media conglomerate Impresa, which is the largest in the country. Impresa owns the main TV channel in the country, SIC, and the weekly newspaper Expresso. The attacks in Portuguese-language-speaking countries have led some security experts to believe that the gang could be operating out of Brazil or elsewhere in South America.

The gang differs in its approach to many ransomware gangs which conduct their attacks purely for financial gain. Lapsus appears to be conducting attacks, at least in part, for kudos within the hacking community and is very public about the attacks it conducts – an approach that is proving troublesome for victims.
Zie https://www.netsec.news/lapsus-ransomware/

[Reactie gewijzigd door wildhagen op 6 maart 2022 11:02]

Wanneer je tegen Nvidia zegt dat ze de LHR beperking ongedaan moeten maken of ze geven alles vrij dan lijkt het mij niet dat hun doel opensource is.
Wat wel verontrustend is, is het feit dat ze niet zomaar een klein bedrijfje of startup geslaagd hebben aangevallen, maar 2 van de grootste en belangrijkste techbedrijven ter wereld, wat serieus wat kennis vereist
Mag ik hier een grote maar achterzetten? Dat een bedrijf groot is, wilt zeker niet zeggen dat het allemaal op orde is op gebied van beveiliging. Tevens moet je afvragen of je überhaupt alles kan dichttimmeren.

Waarschijnlijk is een medewerker gehackt/getroffen door randsomware, en vanuit daar kan je al heel veel doen. Zoals gezegd maakt de grote echt niet uit, dus zelfs een miljarden bedrijf tot MKB kan prima getroffen worden door precies dezelfde hack. Zelfs al zet je iets achter een VPN, dan betekent nog niet dat je data opeens veilig staat en niet ergens terecht kan komen.

Het enige is dat hier cryptokeys lijken te zijn gestolen. M.a.w. zou dit meerdere systemen per direct onveilig maken en ben ik heel erg benieuwd of ze die wel kunnen patchen op afstand.

[Reactie gewijzigd door foxgamer2019 op 6 maart 2022 11:47]

weten hoe je ergens binnen moet geraken is 1, maar wat soort info te zoeken én vinden dat is toch niet zo makkelijk en je zou bijna denken dat er inside info is geweest
Crypto keys gestolen? Dat heb ik gemist. Ik zie bijvoorbeeld source code van de Trustzone TEE implementatie maar dit wil niet zeggen dat de keys ook zijn bemachtigd, die zijn, dacht ik, per apparaat verschillend en bij het maken van de ARM processor “ingebrand”.
Sorry, ik bedoelde niet direct de crypto keys, maar de manier waarop je die (mogelijk) kan ophalen en dus nutteloos kan maken.

Voor ons als hobbyisten natuurlijk mooi, maar overheden zullen er ook blij mee zijn.
Er zijn verschillende “essentiële” sectoren waarbij overheden aanwijzingen geven dat hun ict beter op orde moet. Alleen ga je op korte en middellange termijn daar echt nog weinig van merken.

nieuws: Hack bij transportbedrijf AH betrof ransomware, levering kaas weer op...
Doordat het automatiseringssysteem van Bakker Logistiek niet meer werkte, moesten alle leveringen handmatig verwerkt worden.
Een ketting is zo sterk als de zwakste schakel en wat je ziet is dat er heel veel ruis op de lijnen zit bij grotere bedrijven onder het motto uitbesteden, besparen, zelfstandigen (zzp).
Geen enkel bedrijf (groot of klein) kan alles in-house doen. Iedereen heeft partners, vaak in meerdere landen. En om met partners samen te kunnen werken kan je de boel niet dichttimmeren. En verder heb je natuurlijk al je andere externe kanalen die door mogelijke hackers gebruikt kunnen worden. Dus
Zero trust….always assume you have been breached…..waarschijnlijk niet 100% zaligmakend maar ….
Dank voor de respectvolle feedback!
Is dit normaal. Of kan dat iets met de Rusland-Oekraïne crisis te maken hebben?
Onwaarschijnlijk. De Lapsus-groep is al actief sinds eind vorig jaar, dus ruim voor dit conflict.

Daarnaast lijkt de Lapsus groep zich, gezien hun acties uit het verleden, vooral te richten op Portugees sprekende landen.
The Lapsus ransomware gang first appeared in December having conducted an attack on the Brazil Ministry of Health, which was followed by further attacks in Brazil including the telecommunications operator Claro and the car rental firm Localiza. In January 2021, the gang targeted the Portuguese media conglomerate Impresa, which is the largest in the country. Impresa owns the main TV channel in the country, SIC, and the weekly newspaper Expresso. The attacks in Portuguese-language-speaking countries have led some security experts to believe that the gang could be operating out of Brazil or elsewhere in South America.

The gang differs in its approach to many ransomware gangs which conduct their attacks purely for financial gain. Lapsus appears to be conducting attacks, at least in part, for kudos within the hacking community and is very public about the attacks it conducts – an approach that is proving troublesome for victims.
Zie https://www.netsec.news/lapsus-ransomware/
De Lapsus-groep is al actief sinds eind vorig jaar, dus ruim voor dit conflict.
Sinds de recentste oplaaiing/escalatie van dit conflict. De Krim werd in 2014 geannexeerd door de Russen. Sindsdien is er oorlog geweest in de grensregio’s. Het haalde alleen nooit ons nieuws.
Een tree listing van wat er in de archieven is opgeslagen vind je hier.
https://sizeof.cat/post/samsung-electronics-leak/

Het zijn 7zip archieven maar opmerkelijk dat bestanden in de archieven niet gecomprimeerd zijn.
Dat scheelt tijd en rekenkracht.
Misschien kunnen nu wel die achterlijke beleidsregels van niet te unlocken Snapdragon based toestellen worden omzeild. Dat zou dan wel weer een voordeel zijn van deze hack.
Tsja.... Dan kan je iedere inbraak wel goed gaan praten. Hadden ze de benzine maar niet zo duur moeten maken (na zonder te betalen weg te rijden), de rijen bij de kassa zijn altijd te lang (na zonder te betalen de winkel te verlaten met je spullen.

Je kunt van alles vinden wat beleidsregels maar het is nog altijd de leverancier die bepaald wat wel en niet kan en mag. En als je dat als klant niet ziet zitten koop je het niet.
Dat is het probleem juist. Jij koopt een apparaat, dan zou jij ook degene moeten zijn die bepaalt wat hij erop installeert. Je wil m een 2e leven geven met een custom rom? Prima toch? Samsung kan zijn beveiligde apps wel uitschakelen als je dat doet, maar om dan maar te blokkeren dat jij een nieuwere software erop zet? Vind ik raar. Dat ze een agreement maken voor hun software, prima. Als je het daar niet mee eens bent, zet je er wat anders op. De hardware blijft immers gewoon werken als je dat doet. Net zoals bij een PC.

Natuurlijk keur ik geen enkele criminele actie goed, hiermee bedoel ik alleen maar te zeggen dat er misschien toch een voordeel in deze hack zit, naast het negatieve nieuws dat andere gevoelige informatie ook op straat ligt.
Ik dacht, waaat, heeft Nvidia eigen hackers!?
Is die titel gemaakt door auto translate? Aub verander die.
Ik dacht even dat er een juicy feud gaande was tussen Samsung en Nvidia.
huh....omdat nvidia recent gehacked is was de titel voor mij juis duidelijk en helder :P
Logische titel. Ik zie de titel al groeien in toekomstige berichten: "bedrijf x is mogelijk getroffen door omvangrijke cyberaanval van Nvidia-hackers en Samsung-hackers. :+
Welke bedrijven hebben wat aan die informatie? In landen met schijt aan copyright?!
Toevallig eentje die ook de grootste techcenter van de wereld is. Verder zullen alle (staats)hackers en "beveiligingsbedrijven" die hacktools verkopen aan o.a. overheden hiervan smullen. Goudmijntje. Hobbyisten zullen ook wel even zoet zijn met de mogelijkheden hiervan om hun device meer van hunzelf te maken.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True