文|芯東西
編譯|高歌
芯東西3月7日消息,面向芯片巨頭的數(shù)據(jù)勒索事件持續(xù)發(fā)酵,從英偉達(dá)到三星,都受到來自黑客組織的威脅。
這場(chǎng)浩劫始于今年2月23日,黑客組織LAPSUS$對(duì)英偉達(dá)進(jìn)行了網(wǎng)絡(luò)攻擊,并宣稱竊取了超過1TB、40萬份數(shù)據(jù),包括英偉達(dá)之后幾代顯卡的原理圖、源代碼、英偉達(dá)超分辨率技術(shù)DLSS文件以及英偉達(dá)71335名員工的電子郵件和密碼。此前LAPSUS$組織已傳出近20GB機(jī)密文件,并要求英偉達(dá)在上周五前開源其用于macOS、Windows 和Linux設(shè)備的圖形芯片驅(qū)動(dòng)程序,否則將泄露所有數(shù)據(jù)。
三星是這個(gè)黑客組織的下一個(gè)目標(biāo)。根據(jù)最新消息,3月4日,LAPSUS$再次泄露了三星電子的大量機(jī)密數(shù)據(jù),包括所謂的“三星電子機(jī)密源代碼”。LAPSUS$組織宣稱,這些文件包括三星TrustZone環(huán)境中用于敏感操作的源代碼、生物特征解鎖算法、激活服務(wù)器的源代碼、用于授權(quán)和驗(yàn)證三星電子賬戶的源代碼,甚至還有來自高通的機(jī)密源代碼。
如果LAPSUS$宣稱竊取的機(jī)密數(shù)據(jù)為真,披露的機(jī)密數(shù)據(jù)將影響全球使用三星設(shè)備的數(shù)億用戶,并且可能會(huì)暴露英偉達(dá)的商業(yè)機(jī)密,對(duì)其經(jīng)營產(chǎn)生影響。
01.英偉達(dá)71335名員工信息遭竊勒索目的直指顯卡開源
LAPSUS$的名氣主要來自2月23日對(duì)英偉達(dá)進(jìn)行的網(wǎng)絡(luò)攻擊,由于該組織此前的攻擊目標(biāo)集中于葡萄牙語地區(qū),很多媒體分析認(rèn)為該組織來自南美洲。
2月25日,據(jù)外媒報(bào)道,由于惡意的網(wǎng)絡(luò)攻擊,英偉達(dá)的電子郵件系統(tǒng)和開發(fā)人員工具在此前的兩天里一直難以運(yùn)作,一位內(nèi)部人士稱這次入侵“完全破壞”了英偉達(dá)的內(nèi)部系統(tǒng)。
英偉達(dá)發(fā)言人當(dāng)時(shí)稱:“正在調(diào)查跟進(jìn)中。本公司一切業(yè)務(wù)和商務(wù)活動(dòng)依然順暢運(yùn)行。我們正在評(píng)估此次事件的性質(zhì)與規(guī)模,暫無更多的信息可以公布。”
2月27日,LAPSUS$組織在Telegram上宣布,對(duì)英偉達(dá)的網(wǎng)絡(luò)攻擊負(fù)責(zé),并聲稱竊取了超過1TB的數(shù)據(jù)共計(jì)40萬份文件,包括硬件原理圖和軟件源代碼。
LAPSUS$還發(fā)布了一個(gè)18.9GB的文件,內(nèi)部有英偉達(dá)71335名員工的個(gè)人信息和機(jī)密數(shù)據(jù)。比如英偉達(dá)未發(fā)布的40系列顯卡中的旗艦產(chǎn)品,據(jù)披露信息,其代號(hào)為AD102,具有384位總線、24GB顯存和96MB二級(jí)緩存。
另外,泄露數(shù)據(jù)顯示英偉達(dá)或許正給任天堂下一代游戲機(jī)開發(fā)芯片。數(shù)據(jù)中已經(jīng)被確認(rèn)包含為任天堂開發(fā)的DLSS技術(shù)源代碼,此外還包含許多“NVN2”,NVN則是Switch使用的Tegera X1芯片代號(hào)。
值得注意的是,根據(jù)英偉達(dá)的年報(bào),其在29個(gè)國家/地區(qū)共擁有18975名員工,遠(yuǎn)低于泄露的7.1萬人,因此可能很多曾工作于英偉達(dá)的員工信息同樣遭到了泄露。
3月1日,英偉達(dá)發(fā)布官方聲明:其獲悉了一起影響IT資源的網(wǎng)絡(luò)安全事件。在發(fā)現(xiàn)事件后不久,英偉達(dá)進(jìn)一步強(qiáng)化了網(wǎng)絡(luò),聘請(qǐng)了網(wǎng)絡(luò)安全事件響應(yīng)專家,并通知了執(zhí)法部門。
英偉達(dá)在聲明中寫道,沒有證據(jù)表明勒索軟件被部署在NVIDIA環(huán)境中,或者該事件與俄羅斯-烏克蘭沖突有關(guān)。但是,英偉達(dá)知道黑客從其系統(tǒng)中獲取了員工密碼和一些公司專有信息,并開始在網(wǎng)上泄露這些信息。英偉達(dá)的團(tuán)隊(duì)正在努力分析這些信息,所有員工都被要求更改密碼,預(yù)計(jì)該事件不會(huì)對(duì)其業(yè)務(wù)或客戶服務(wù)造成影響。
事件發(fā)生之初,LAPSUS$要求英偉達(dá)刪除其限制挖礦(Lite Hash Rate,LHR)功能,否則就會(huì)公開“the hardware(硬件)”文件夾,據(jù)悉其中有英偉達(dá)GPU原理圖、源代碼和未來幾代英偉達(dá)GPU產(chǎn)品的信息。此外,LAPSUS$宣布將以100萬美元的價(jià)格出售加密nerf的bypass。
由于全球缺芯和加密貨幣大漲,自2021年以來,顯卡價(jià)格飛速飆升,引起了大量游戲玩家和消費(fèi)者不滿。針對(duì)這一情況,英偉達(dá)在2021年2月推出了LHR,限制了GeForce RTX 3080、3070和3060 Ti等型號(hào)顯卡的挖礦能力,以期減少挖礦者搶購顯卡的行為。
因此,LAPSUS$的勒索條件頓時(shí)引發(fā)了關(guān)注,被視為支持加密貨幣挖礦。上周二,LAPSUS$改變了其勒索條件,要求英偉達(dá)開源其用于macOS、Windows和Linux設(shè)備的圖形芯片驅(qū)動(dòng)程序,且截止時(shí)間為上周五。
▲黑客組織LAPSUS$對(duì)英偉達(dá)的勒索要求
值得關(guān)注的是,針對(duì)黑客攻擊,英偉達(dá)曾嘗試加密被盜數(shù)據(jù),甚至反過來侵入黑客組織。
因?yàn)長(zhǎng)APSUS$在虛擬機(jī)環(huán)境中制作了副本,反擊并未成功。該組織發(fā)帖稱,一早起來發(fā)現(xiàn)了英偉達(dá)用勒索軟件對(duì)其進(jìn)行了攻擊,但備份的存在阻止了這次反擊。帖子還不屑地表示:“為什么他們認(rèn)為可以連接到我們的私人計(jì)算機(jī)并安裝勒索軟件?!?/p>
至今,英偉達(dá)仍未滿足LAPSUS$的開源要求。
02.三星多敏感算法、源代碼泄露高通機(jī)密信息遭牽連
除了英偉達(dá),三星電子也成為了LAPSUS$的攻擊目標(biāo)。
上周五,LAPSUS$組織泄露了三星電子的機(jī)密文件。該組織將從三星電子竊取的數(shù)據(jù)拆分為三個(gè)壓縮文件,共有近190GB大小,這些泄露內(nèi)容可以用BitTorrent協(xié)議獲得。
LAPSUS$組織宣稱,其獲取了三星TrustZone環(huán)境中安裝的每個(gè)受信任小程序(TA)的源代碼(可用于硬件加密、二進(jìn)制加密、訪問控制等敏感操作),所有生物特征解鎖操作的算法,所有最新三星電子設(shè)備的引導(dǎo)加載程序源代碼,來自高通的機(jī)密源代碼,三星電子激活服務(wù)器的源代碼,以及用于授權(quán)和驗(yàn)證三星電子賬戶的技術(shù)的完整源代碼(包括API和服務(wù))。
▲三星內(nèi)部機(jī)密文件截圖
LAPSUS$組織還在文件中附有對(duì)三個(gè)壓縮文件的簡(jiǎn)單說明。
第1個(gè)壓縮文件包括有關(guān)Security/Defense/Knox/Bootloader/TrustedApps和其他各種項(xiàng)目的源代碼和相關(guān)數(shù)據(jù)的轉(zhuǎn)儲(chǔ);第2個(gè)壓縮文件包含有關(guān)設(shè)備安全和加密的源代碼和相關(guān)數(shù)據(jù);第3個(gè)壓縮文件則包含來自三星GitHub的各種存儲(chǔ)庫:移動(dòng)防御工程、三星賬戶后端、三星通行證后端/前端和SES(Bixby、Smartthings、商店)等。
▲泄密數(shù)據(jù)拆分后的文件夾
據(jù)外媒報(bào)道,已有400多人下載這些泄露數(shù)據(jù)。LAPSUS$還聲明將部署更多服務(wù)器以提升文件下載速度。
三星電子作為全球消費(fèi)電子龍頭,全球共有數(shù)億名用戶,每五部智能手機(jī)中就有一部來自三星電子。外媒稱,面對(duì)這樣的安全威脅,三星電子必須要考慮攻擊背后的潛在影響。
三星電子在接受韓媒采訪時(shí)回應(yīng),他們現(xiàn)在正在評(píng)估情況。
03.巴西衛(wèi)生部、葡萄牙媒體曾被攻擊影響數(shù)百萬人生活
今天,LAPSUS$再次出手,讓人們?cè)谟娦殴疚诌_(dá)豐(Vodafone)、葡萄牙媒體集團(tuán)Impresa和南美電子商務(wù)公司MercadoLibre &MercadoPago三家公司中匿名投票,選擇泄露哪家公司的數(shù)據(jù)。目前,沃達(dá)豐獲得了最高54%的票數(shù),或許將成為下一個(gè)數(shù)據(jù)泄露受害者。
▲LAPSUS$組織投票結(jié)果截圖
雖然對(duì)英偉達(dá)和三星電子的攻擊讓LAPSUS$聲名鵲起,但其此前已有多次黑客攻擊。
去年12月,LAPSUS$攻擊了巴西衛(wèi)生部的網(wǎng)站,竊取了50TB的數(shù)據(jù),導(dǎo)致數(shù)百萬人無法獲得疫苗數(shù)據(jù)。元旦期間LAPSUS$攻擊了葡萄牙最大的傳媒集團(tuán)Impresa,集團(tuán)網(wǎng)站、SIC TV頻道和Expresso網(wǎng)站被迫下線。
LAPSUS$聲稱,其可以訪問Impresa的亞馬遜網(wǎng)絡(luò)服務(wù)賬戶,并從Expresso認(rèn)證的推特賬號(hào)上發(fā)布了推文,以證明自己擁有訪問權(quán)限。同時(shí),南美電信提供商Claro和Embratel也在被攻擊之列。
在LAPSUS$組織的信息泄露投票公司中,已獲得了54%投票的沃達(dá)豐此前也遭受了黑客攻擊。
據(jù)外媒報(bào)道,2月7日,沃達(dá)豐位于葡萄牙的子公司遭受攻擊,其4G和5G網(wǎng)絡(luò)遭到“摧毀”,并停止了固定語音、電視、短信以及語音和數(shù)字應(yīng)答服務(wù),影響了該公司430萬手機(jī)用戶和340萬光纖用戶。
葡萄牙網(wǎng)絡(luò)運(yùn)營商Multibanco ATM提到這次攻擊導(dǎo)致其服務(wù)“偶爾出現(xiàn)不穩(wěn)定”,且救護(hù)車運(yùn)營商、消防部門和醫(yī)院等公共服務(wù)也受到影響。
這次襲擊的細(xì)節(jié)并未披露,也不能確定是LAPSUS$組織所為。沃達(dá)豐葡萄牙公司首席執(zhí)行官M(fèi)ário Vaz稱,該公司沒有收到任何表明它受到勒索軟件攻擊的贖金要求,也沒有跡象表明攻擊者訪問了用戶信息或其他敏感數(shù)據(jù)。
04.結(jié)語:三星、英偉達(dá)被攻擊體現(xiàn)數(shù)據(jù)安全重要性
隨著全球信息化,黑客攻擊的數(shù)量正在急劇增加,個(gè)人計(jì)算機(jī)、企業(yè)官網(wǎng)、公共服務(wù)數(shù)據(jù)庫等都已成為黑客攻擊的目標(biāo),日益泛濫的攻擊已成為全球信息安全的重要挑戰(zhàn)。
事實(shí)上,在半導(dǎo)體領(lǐng)域無論是機(jī)密信息還是工廠運(yùn)營都面臨黑客攻擊的挑戰(zhàn)。早在2018年,臺(tái)積電就曾因機(jī)臺(tái)攜帶病毒,而發(fā)生數(shù)十億新臺(tái)幣的損失。同樣,芯片知識(shí)產(chǎn)權(quán)、軟硬件代碼和布局作為半導(dǎo)體廠商的重要財(cái)產(chǎn),其泄露也有可能造成嚴(yán)重的后果。本次,LAPSUS$組織對(duì)三星電子和英偉達(dá)的襲擊,再次體現(xiàn)了對(duì)網(wǎng)絡(luò)和數(shù)據(jù)防護(hù)的重要性。
來源:英國每日電訊報(bào)、Bleeping Computer、Ars Technica