Samsung bị tin tặc tấn công, đánh cắp dữ liệu điện thoại thông minh Galaxy

Trước giờ, Samsung thường đề cao các biện pháp bảo mật của mình, đặc biệt là xung quanh công nghệ Samsung Knox có sẵn trên các thiết bị Galaxy và các sản phẩm khác, nhưng không công ty (hoặc chính phủ) nào miễn nhiễm tuyệt đối với các vụ vi phạm tấn công bảo mật. Mới đây, Samsung xác nhận rằng họ đã bị một vụ vi phạm tấn công mạng đáng kể, sau các báo cáo lan truyền tuần vừa qua về vụ rò rỉ dữ liệu bởi một nhóm tống tiền. Theo báo cáo đầu tiên của BleepingComputer, nhóm tống tiền dữ liệu Lapsus $ đã rò rỉ vào cuối tuần trước gần 190GB kho lưu trữ dữ liệu mà họ tuyên bố đã đánh cắp từ Samsung Electronics.

Và mới đây, Samsung đã xác nhận vụ vi phạm tấn công bảo mật với trang Bloomberg và cho biết: "Hiện tại, chúng tôi chưa nhận thấy bất kỳ ảnh hưởng nào đến hoạt động Samsung. Đã có một vi phạm bảo mật liên quan đến một số dữ liệu nội bộ của công ty. Theo phân tích ban đầu của chúng tôi, vi phạm liên quan đến một số mã nguồn liên quan đến hoạt động của thiết bị Galaxy, nhưng không bao gồm thông tin cá nhân của người tiêu dùng hoặc nhân viên của chúng tôi. Hiện tại, chúng tôi không lường trước được bất kỳ tác động nào đến hoạt động kinh doanh hoặc khách hàng của mình. Chúng tôi đã thực hiện các biện pháp để ngăn chặn những sự cố như vậy tiếp tục xảy ra, và sẽ tiếp tục phục vụ khách hàng của chúng tôi mà không bị gián đoạn sau sự cố này".

Trong bài đăng về vụ hack, Lapsus$ cho biết đã chia nhỏ 190 GB dữ liệu thành ba tập tin nén và chia sẻ chúng dưới hình thức torrent. Nhóm cũng đăng một số ảnh chụp mã nguồn sản phẩm của Samsung để chứng minh. Một torrent 190GB đã được đăng lên kênh Telegram của nhóm vào thứ sáu tuần trước được cho là của Nhóm tống tiền dữ liệu 'Lapsus $, theo Bleeping Computer. Rò rỉ được báo cáo bao gồm mã nguồn cho mã Trusted Applet (TA) được sử dụng cho các hoạt động nhạy cảm (ví dụ: mật mã phần cứng), mã nguồn bộ nạp khởi động, mã từ Qualcomm, mã xác thực / ủy quyền tài khoản Samsung, v.v.

Hay nói cách khác, dữ liệu được công bố thành ba phần, như được phác thảo bởi Bleeping Computer :

•           Phần 1 : Mã nguồn và dữ liệu liên quan về Security / Defense / Knox / Bootloader / TrustedApps.

•           Phần 2 : Mã nguồn và dữ liệu liên quan về bảo mật và mã hóa thiết bị.

•           Phần 3 : Kho lưu trữ từ Samsung Github, bao gồm kỹ thuật phòng thủ di động, phụ trợ tài khoản Samsung, phụ trợ / giao diện người dùng vượt qua Samsung và SES (Bixby, Smartthings, Galaxy Store).

Theo trang web TechCrunch, dữ liệu bị đánh cắp cũng được cho là bao gồm thông tin bí mật từ nhà sản xuất chip Qualcomm, vốn sản xuất chip Snapdragon 8 Gen 1 cung cấp năng lượng cho các điện thoại mới của Samsung ở Aotearoa. Người phát ngôn của Qualcomm, Clare Conley nói với TechCrunch rằng, công ty đang xem xét các tuyên bố này một cách rất nghiêm túc.

"Chúng tôi đang khẩn trương làm việc với Samsung để tìm hiểu phạm vi của vụ việc, cũng như xác nhận dữ liệu của Qualcomm", Conley nói. "Chúng tôi không có lý do gì để tin rằng hệ thống hoặc bảo mật của Qualcomm đã bị ảnh hưởng do sự cố được báo cáo này".

Hiện tại, chủ sở hữu thiết bị không có gì phải lo lắng. Vốn dĩ không có gì quá nguy hiểm bằng việc sử dụng phần mềm mã nguồn mở, và điều tương tự cũng xảy ra khi mã nguồn cho phần mềm độc quyền bị rò rỉ. Tuy nhiên, hãy luôn đảm bảo thiết bị của bạn được cập nhật các bản vá bảo mật và bản cập nhật phần mềm mới nhất.

Về lâu dài, hãy cài đặt và sử dụng một trong những ứng dụng chống vi-rút Android tốt nhất, ứng dụng này sẽ phát hiện và chặn phần mềm độc hại Android. Và hãy tiếp tục cài đặt các bản cập nhật phần mềm của Samsung mới nhất được phía Samsung công bố.

Tuy nhiên, giới chuyên gia bảo mật nhận định, dữ liệu nội bộ được phát hành sẽ được coi là rất nhạy cảm đối với Samsung và nó có thể giúp các tác nhân đe dọa dễ dàng xác định các hành vi khai thác trong các thành phần bị ảnh hưởng hơn trong tương lai. Mặc dù đúng là bản thân mã nguồn không phải là một lỗ hổng, nhưng nó có thể giúp những kẻ tấn công tiềm năng hiểu cách hoạt động của các thành phần khác nhau này và giúp xác định các lỗ hổng bảo mật dễ dàng hơn trong quá trình triển khai cuộc tấn công.

LAPSUS $ cũng chính là nhóm phát hành dữ liệu bị đánh cắp từ NVIDIA vào cuối tháng 2, đe dọa tiết lộ nhiều thông tin bị đánh cắp hơn trừ khi công ty NVIDIA loại bỏ Lite Hash Rate (LHR)  (điều này hạn chế mức độ hiệu quả của họ trong việc khai thác tiền điện tử) khỏi card đồ họa của mình. NVIDIA nói với trang The Verge trong một tuyên bố: 

"Ngay sau khi phát hiện ra sự cố, chúng tôi đã tăng cường hơn nữa mạng lưới của mình, mời các chuyên gia ứng phó sự cố an ninh mạng và thông báo cho cơ quan thực thi pháp luật. Chúng tôi không có bằng chứng về việc ransomware được triển khai trên môi trường NVIDIA hoặc điều này có liên quan đến xung đột Nga-Ukraine". Hiện vẫn chưa rõ liệu Lapsus $ có yêu cầu Samsung đòi tiền chuộc trước khi làm rò rỉ dữ liệu hay không, vì trước đây họ đã làm với những yêu cầu ngày càng kỳ lạ nhắm vào Nvidia.