文|芯东西
编译|高歌
芯东西3月7日消息,面向芯片巨头的数据勒索事件持续发酵,从英伟达到三星,都受到来自黑客组织的威胁。
这场浩劫始于今年2月23日,黑客组织LAPSUS$对英伟达进行了网络攻击,并宣称窃取了超过1TB、40万份数据,包括英伟达之后几代显卡的原理图、源代码、英伟达超分辨率技术DLSS文件以及英伟达71335名员工的电子邮件和密码。此前LAPSUS$组织已传出近20GB机密文件,并要求英伟达在上周五前开源其用于macOS、Windows 和Linux设备的图形芯片驱动程序,否则将泄露所有数据。
三星是这个黑客组织的下一个目标。根据最新消息,3月4日,LAPSUS$再次泄露了三星电子的大量机密数据,包括所谓的“三星电子机密源代码”。LAPSUS$组织宣称,这些文件包括三星TrustZone环境中用于敏感操作的源代码、生物特征解锁算法、激活服务器的源代码、用于授权和验证三星电子账户的源代码,甚至还有来自高通的机密源代码。
如果LAPSUS$宣称窃取的机密数据为真,披露的机密数据将影响全球使用三星设备的数亿用户,并且可能会暴露英伟达的商业机密,对其经营产生影响。
01.英伟达71335名员工信息遭窃勒索目的直指显卡开源
LAPSUS$的名气主要来自2月23日对英伟达进行的网络攻击,由于该组织此前的攻击目标集中于葡萄牙语地区,很多媒体分析认为该组织来自南美洲。
2月25日,据外媒报道,由于恶意的网络攻击,英伟达的电子邮件系统和开发人员工具在此前的两天里一直难以运作,一位内部人士称这次入侵“完全破坏”了英伟达的内部系统。
英伟达发言人当时称:“正在调查跟进中。本公司一切业务和商务活动依然顺畅运行。我们正在评估此次事件的性质与规模,暂无更多的信息可以公布。”
2月27日,LAPSUS$组织在Telegram上宣布,对英伟达的网络攻击负责,并声称窃取了超过1TB的数据共计40万份文件,包括硬件原理图和软件源代码。
LAPSUS$还发布了一个18.9GB的文件,内部有英伟达71335名员工的个人信息和机密数据。比如英伟达未发布的40系列显卡中的旗舰产品,据披露信息,其代号为AD102,具有384位总线、24GB显存和96MB二级缓存。
另外,泄露数据显示英伟达或许正给任天堂下一代游戏机开发芯片。数据中已经被确认包含为任天堂开发的DLSS技术源代码,此外还包含许多“NVN2”,NVN则是Switch使用的Tegera X1芯片代号。
值得注意的是,根据英伟达的年报,其在29个国家/地区共拥有18975名员工,远低于泄露的7.1万人,因此可能很多曾工作于英伟达的员工信息同样遭到了泄露。
3月1日,英伟达发布官方声明:其获悉了一起影响IT资源的网络安全事件。在发现事件后不久,英伟达进一步强化了网络,聘请了网络安全事件响应专家,并通知了执法部门。
英伟达在声明中写道,没有证据表明勒索软件被部署在NVIDIA环境中,或者该事件与俄罗斯-乌克兰冲突有关。但是,英伟达知道黑客从其系统中获取了员工密码和一些公司专有信息,并开始在网上泄露这些信息。英伟达的团队正在努力分析这些信息,所有员工都被要求更改密码,预计该事件不会对其业务或客户服务造成影响。
事件发生之初,LAPSUS$要求英伟达删除其限制挖矿(Lite Hash Rate,LHR)功能,否则就会公开“the hardware(硬件)”文件夹,据悉其中有英伟达GPU原理图、源代码和未来几代英伟达GPU产品的信息。此外,LAPSUS$宣布将以100万美元的价格出售加密nerf的bypass。
由于全球缺芯和加密货币大涨,自2021年以来,显卡价格飞速飙升,引起了大量游戏玩家和消费者不满。针对这一情况,英伟达在2021年2月推出了LHR,限制了GeForce RTX 3080、3070和3060 Ti等型号显卡的挖矿能力,以期减少挖矿者抢购显卡的行为。
因此,LAPSUS$的勒索条件顿时引发了关注,被视为支持加密货币挖矿。上周二,LAPSUS$改变了其勒索条件,要求英伟达开源其用于macOS、Windows和Linux设备的图形芯片驱动程序,且截止时间为上周五。
▲黑客组织LAPSUS$对英伟达的勒索要求
值得关注的是,针对黑客攻击,英伟达曾尝试加密被盗数据,甚至反过来侵入黑客组织。
因为LAPSUS$在虚拟机环境中制作了副本,反击并未成功。该组织发帖称,一早起来发现了英伟达用勒索软件对其进行了攻击,但备份的存在阻止了这次反击。帖子还不屑地表示:“为什么他们认为可以连接到我们的私人计算机并安装勒索软件。”
至今,英伟达仍未满足LAPSUS$的开源要求。
02.三星多敏感算法、源代码泄露高通机密信息遭牵连
除了英伟达,三星电子也成为了LAPSUS$的攻击目标。
上周五,LAPSUS$组织泄露了三星电子的机密文件。该组织将从三星电子窃取的数据拆分为三个压缩文件,共有近190GB大小,这些泄露内容可以用BitTorrent协议获得。
LAPSUS$组织宣称,其获取了三星TrustZone环境中安装的每个受信任小程序(TA)的源代码(可用于硬件加密、二进制加密、访问控制等敏感操作),所有生物特征解锁操作的算法,所有最新三星电子设备的引导加载程序源代码,来自高通的机密源代码,三星电子激活服务器的源代码,以及用于授权和验证三星电子账户的技术的完整源代码(包括API和服务)。
▲三星内部机密文件截图
LAPSUS$组织还在文件中附有对三个压缩文件的简单说明。
第1个压缩文件包括有关Security/Defense/Knox/Bootloader/TrustedApps和其他各种项目的源代码和相关数据的转储;第2个压缩文件包含有关设备安全和加密的源代码和相关数据;第3个压缩文件则包含来自三星GitHub的各种存储库:移动防御工程、三星账户后端、三星通行证后端/前端和SES(Bixby、Smartthings、商店)等。
▲泄密数据拆分后的文件夹
据外媒报道,已有400多人下载这些泄露数据。LAPSUS$还声明将部署更多服务器以提升文件下载速度。
三星电子作为全球消费电子龙头,全球共有数亿名用户,每五部智能手机中就有一部来自三星电子。外媒称,面对这样的安全威胁,三星电子必须要考虑攻击背后的潜在影响。
三星电子在接受韩媒采访时回应,他们现在正在评估情况。
03.巴西卫生部、葡萄牙媒体曾被攻击影响数百万人生活
今天,LAPSUS$再次出手,让人们在英国电信公司沃达丰(Vodafone)、葡萄牙媒体集团Impresa和南美电子商务公司MercadoLibre &MercadoPago三家公司中匿名投票,选择泄露哪家公司的数据。目前,沃达丰获得了最高54%的票数,或许将成为下一个数据泄露受害者。
▲LAPSUS$组织投票结果截图
虽然对英伟达和三星电子的攻击让LAPSUS$声名鹊起,但其此前已有多次黑客攻击。
去年12月,LAPSUS$攻击了巴西卫生部的网站,窃取了50TB的数据,导致数百万人无法获得疫苗数据。元旦期间LAPSUS$攻击了葡萄牙最大的传媒集团Impresa,集团网站、SIC TV频道和Expresso网站被迫下线。
LAPSUS$声称,其可以访问Impresa的亚马逊网络服务账户,并从Expresso认证的推特账号上发布了推文,以证明自己拥有访问权限。同时,南美电信提供商Claro和Embratel也在被攻击之列。
在LAPSUS$组织的信息泄露投票公司中,已获得了54%投票的沃达丰此前也遭受了黑客攻击。
据外媒报道,2月7日,沃达丰位于葡萄牙的子公司遭受攻击,其4G和5G网络遭到“摧毁”,并停止了固定语音、电视、短信以及语音和数字应答服务,影响了该公司430万手机用户和340万光纤用户。
葡萄牙网络运营商Multibanco ATM提到这次攻击导致其服务“偶尔出现不稳定”,且救护车运营商、消防部门和医院等公共服务也受到影响。
这次袭击的细节并未披露,也不能确定是LAPSUS$组织所为。沃达丰葡萄牙公司首席执行官Mário Vaz称,该公司没有收到任何表明它受到勒索软件攻击的赎金要求,也没有迹象表明攻击者访问了用户信息或其他敏感数据。
04.结语:三星、英伟达被攻击体现数据安全重要性
随着全球信息化,黑客攻击的数量正在急剧增加,个人计算机、企业官网、公共服务数据库等都已成为黑客攻击的目标,日益泛滥的攻击已成为全球信息安全的重要挑战。
事实上,在半导体领域无论是机密信息还是工厂运营都面临黑客攻击的挑战。早在2018年,台积电就曾因机台携带病毒,而发生数十亿新台币的损失。同样,芯片知识产权、软硬件代码和布局作为半导体厂商的重要财产,其泄露也有可能造成严重的后果。本次,LAPSUS$组织对三星电子和英伟达的袭击,再次体现了对网络和数据防护的重要性。
来源:英国每日电讯报、Bleeping Computer、Ars Technica
评论