Aralık 2021’de ortaya çıkan siber suç grubu Lapsus$, reklamları gözle görülür şekilde takdir ediyor. Grubun üstlendiği saldırılar genellikle yüksekten uçan hedeflerdir: Ocak ayında, Lapsus$ Portekiz parlamentosunu ve aynı ülkedeki büyük bir medya grubunu, Brezilya sağlık bakanlığını ve iki Güney Amerika telekomünikasyonunu hacklemenin sorumluluğunu üstlendi.
Şaşırtıcı gereksinimler
Bir ay boyunca grup yine de hedef tipolojisini değiştirmiş görünüyor: Nvidia şirketinin hacklendiğini iddia ettikten sonra, grup şimdi Samsung’a ait verileri çaldığını duyurdu. Nvidia, sistemlerini etkileyen ve iki günlük kesinti süresine neden olan “bir olayı” doğruladı. Şirket ayrıca, çalışan kimlik bilgilerinin yanı sıra dahili verilerin de çalındığını, ancak sisteminde herhangi bir fidye yazılımı izi tespit etmediğini söyledi.
Samsung, Galaxy cihazları tarafından kullanılan kaynak kodunun çalınmasıyla sonuçlanan, ancak çalışanlarının veya müşterilerinin kişisel verileri üzerinde hiçbir etkisi olmayan dahili verilerle ilgili bir “olay” olduğunu doğruladı. Mağdurlar tarafında, bu nedenle iletişim kurmadan önce çok dikkatli davranıyoruz.
Lapsus$ grubu tarafında, bu başka bir hikaye. Saldırganlar böylece Nvidia’nın sunucularından 1 Terabayttan fazla veri çaldıklarını açıkladılar. İyi niyetlerini kanıtlamak için, 20 GB’lık çalıntı dosyaların ilk örneğini yayınladılar. Grup da taleplerini dile getirmeye başladı: Nvidia’nın yanı sıra Lapsus$ talepleri teknolojiden vazgeç LHRLite Hash Rate, sattığı grafik kartlarında.
Bu teknoloji Nvidia tarafından, grafik kartlarının kripto para madenciliğine olan ilgisini sınırlamak, sektörün şu anda yaşadığı kıtlığın etkilerini dengelemek ve bazı ürünlerini oyunculara, tarihi kamuoyuna ayırmak için tanıtıldı. Nvidia. Grubun diğer iddiaları arasında siber suçlular, Nvidia’nın açık kaynak, sürücülerinin kaynak kodunu grafik kartı için.
hasar yapılır
Nvidia’nın bu tür gereksinimlere uyduğunu hayal etmek zor, ancak siber suçlu grubu, çalınan verileri kullanarak zarar vermeye çalışmak için beklemedi. Güvenlik araştırmacılarının bildirdiği gibi grup görünüşe göre bir sertifika imzalama aracı yayınladı Nvidia ve bazı siber suçlular, kötü amaçlı yazılımlar için Nvidia adına sertifikalar vermek için bunu kullanır.
Sertifikalar, bir uygulamanın kaynağını sağlamak için kullanılan bir teknolojidir. Uygulama geliştiricisi, uygulama kodunun gerçekten kendilerine ait olduğunu onaylamak için imza araçlarını kullanabilir ve ardından kullanıcı, uygulama ayrıntılarına bakarak imzanın kaynağını doğrulayabilir. Bu özellik ayrıca işletim sistemi tarafından imzasız bir uygulama yüklemek isteyen bir kullanıcıya belirli uyarılar göstermek ve olası bilgisayar saldırılarına karşı onu uyarmak için kullanılır. Bazı kritik uygulamalar için, işletim sistemi bir güvenlik önlemi olarak imzasız kodun yüklenmesini de yasaklayabilir.
Bleeping Computer’ın bildirdiği gibi, Lapsus$ grubu tarafından çalınan veriler, üretici tarafından uygulamalarını imzalamak için kullanılan en az iki sertifikayı içeriyordu. Ve birkaç araştırmacı, saldırının iddia edildiği günlerden bu yana kötü amaçlı uygulamaların bu sertifikalarla imzalandığını tespit etti. Bu nedenle bu sertifikaların dağıtımı, siber suçlu gruplarının Nvidia adına belirli uygulamaları dijital olarak imzalamasına olanak tanır: sertifikalar iptal edilmiştir, ancak örneğin Windows, iptal edilmiş sertifikaları kullanan sürücülerin yüklenmesini kabul etmektedir. Bu nedenle, bir saldırgan için bu araçların kullanımı, Microsoft işletim sistemine entegre edilmiş korumalardan bazılarını atlatmayı mümkün kılar.