Il gruppo criminale Lapsus$, noto per attacchi di tipo ransomware e che ha recentemente copito anche NVIDIA, ha rivendicato nella serata di venerdì scorso, 4 marzo, un attacco informatico rivolto al gigante tecnologico sudcoreano Samsung.
Il risultato di questo attacco, un’esfiltrazione di file dalle macchine dell’azienda, è stato condiviso con i metodi ormai consolidati dal gruppo criminale e cioè tramite canale Telegram. Il data leak comprende 190 GB di dati per i quali, presumibilmente, è stato richiesto un riscatto a Samsung, anche se al momento non ne è apparsa alcuna rivendicazione pubblica.
Indice degli argomenti
Lapsus$ ransomware attacca Samsung
Il gruppo Lapsus$ ha affermato di essere riuscito a violare i server Samsung e ha pubblicato online quasi 190 GB di dati sensibili, inclusi codici sorgente originali di applicazioni sviluppate dall’azienda e dati di vari progetti relativi ai dispositivi Galaxy.
Il data leak è stato distribuito, appunto, tramite il canale Telegram a cui Lapsus$ fa capo per comunicare le proprie operazioni, sotto forma di condivisione su rete Torrent, suddivisa in 3 file per migliorarne la velocità di trasferimento. Il gran numero di peer torrent attivi su questi dati fa il resto del lavoro (circa 400 quelli attivi a poche ore dalla comunicazione).
Cosa contiene l’archivio di Samsung trapelato?
In base alle indicazioni fornite dal gruppo Lapsus$ stesso, l’attacco avrebbe consentito ai criminal hacker di esfiltrare dati interni del colosso della tecnologia tra cui:
- codice sorgente per ogni Trusted Applet (TA) installato su tutti i dispositivi Samsung TrustZone (TEE) con codice specifico per ogni tipo di TEE OS (QSEE, TEEGris ecc.);
- algoritmi per tutte le operazioni di sblocco biometrico, incluso il codice sorgente che comunica direttamente con il sensore;
- codice sorgente del bootloader per tutti i dispositivi Samsung recenti, inclusi i dati Knox e il codice per l’autenticazione;
- vari altri dati come codice sorgente non pubblico di Qualcomm.
L’attacco a Samsung, vista la quantità e la rilevanza dei file resi pubblici, potrebbe essere considerato di importanza strategica per l’azienda e può esporre fortemente il colosso sudcoreano al rischio reputazionale, oltre che, dal punto di vista tecnico, rivelare segreti importanti che utenti malintenzionati possono utilizzare in futuro per altri attacchi contro dispositivi e software marchiati Samsung.
La risposta di Samsung
In realtà, secondo quanto riportato da The Verge, Samsung non ha confermato o negato l’identità degli hacker, né se hanno rubato o meno i dati relativi alla crittografia e biometrici. La società ha invece confermato che nessun dato personale, appartenente a dipendenti o clienti, è stato rubato.
“C’è stata una violazione della sicurezza relativa ad alcuni dati aziendali interni”, ha detto Samsung in una dichiarazione riportata da Bloomberg News e SamMobile. “Secondo la nostra analisi iniziale, la violazione coinvolge alcuni codici sorgente relativi al funzionamento dei dispositivi Galaxy, ma non include le informazioni personali dei nostri consumatori o dipendenti. Attualmente, non prevediamo alcun impatto sulla nostra attività o sui nostri clienti. Abbiamo implementato misure per prevenire ulteriori incidenti di questo tipo e continueremo a servire i nostri clienti senza interruzioni”.
