文|芯東西

編譯|高歌

芯東西3月7日消息，面向芯片巨頭的數(shù)據(jù)勒索事件持續(xù)發(fā)酵，從英偉達(dá)到三星，都受到來自黑客組織的威脅。

這場浩劫始于今年2月23日，黑客組織LAPSUS$對英偉達(dá)進(jìn)行了網(wǎng)絡(luò)攻擊，并宣稱竊取了超過1TB、40萬份數(shù)據(jù)，包括英偉達(dá)之后幾代顯卡的原理圖、源代碼、英偉達(dá)超分辨率技術(shù)DLSS文件以及英偉達(dá)71335名員工的電子郵件和密碼。此前LAPSUS$組織已傳出近20GB機(jī)密文件，并要求英偉達(dá)在上周五前開源其用于macOS、Windows 和Linux設(shè)備的圖形芯片驅(qū)動(dòng)程序，否則將泄露所有數(shù)據(jù)。

三星是這個(gè)黑客組織的下一個(gè)目標(biāo)。根據(jù)最新消息，3月4日，LAPSUS$再次泄露了三星電子的大量機(jī)密數(shù)據(jù)，包括所謂的“三星電子機(jī)密源代碼”。LAPSUS$組織宣稱，這些文件包括三星TrustZone環(huán)境中用于敏感操作的源代碼、生物特征解鎖算法、激活服務(wù)器的源代碼、用于授權(quán)和驗(yàn)證三星電子賬戶的源代碼，甚至還有來自高通的機(jī)密源代碼。

如果LAPSUS$宣稱竊取的機(jī)密數(shù)據(jù)為真，披露的機(jī)密數(shù)據(jù)將影響全球使用三星設(shè)備的數(shù)億用戶，并且可能會(huì)暴露英偉達(dá)的商業(yè)機(jī)密，對其經(jīng)營產(chǎn)生影響。

01.英偉達(dá)71335名員工信息遭竊勒索目的直指顯卡開源

LAPSUS$的名氣主要來自2月23日對英偉達(dá)進(jìn)行的網(wǎng)絡(luò)攻擊，由于該組織此前的攻擊目標(biāo)集中于葡萄牙語地區(qū)，很多媒體分析認(rèn)為該組織來自南美洲。

2月25日，據(jù)外媒報(bào)道，由于惡意的網(wǎng)絡(luò)攻擊，英偉達(dá)的電子郵件系統(tǒng)和開發(fā)人員工具在此前的兩天里一直難以運(yùn)作，一位內(nèi)部人士稱這次入侵“完全破壞”了英偉達(dá)的內(nèi)部系統(tǒng)。

英偉達(dá)發(fā)言人當(dāng)時(shí)稱：“正在調(diào)查跟進(jìn)中。本公司一切業(yè)務(wù)和商務(wù)活動(dòng)依然順暢運(yùn)行。我們正在評(píng)估此次事件的性質(zhì)與規(guī)模，暫無更多的信息可以公布。”

2月27日，LAPSUS$組織在Telegram上宣布，對英偉達(dá)的網(wǎng)絡(luò)攻擊負(fù)責(zé)，并聲稱竊取了超過1TB的數(shù)據(jù)共計(jì)40萬份文件，包括硬件原理圖和軟件源代碼。

LAPSUS$還發(fā)布了一個(gè)18.9GB的文件，內(nèi)部有英偉達(dá)71335名員工的個(gè)人信息和機(jī)密數(shù)據(jù)。比如英偉達(dá)未發(fā)布的40系列顯卡中的旗艦產(chǎn)品，據(jù)披露信息，其代號(hào)為AD102，具有384位總線、24GB顯存和96MB二級(jí)緩存。

另外，泄露數(shù)據(jù)顯示英偉達(dá)或許正給任天堂下一代游戲機(jī)開發(fā)芯片。數(shù)據(jù)中已經(jīng)被確認(rèn)包含為任天堂開發(fā)的DLSS技術(shù)源代碼，此外還包含許多“NVN2”，NVN則是Switch使用的Tegera X1芯片代號(hào)。

值得注意的是，根據(jù)英偉達(dá)的年報(bào)，其在29個(gè)國家/地區(qū)共擁有18975名員工，遠(yuǎn)低于泄露的7.1萬人，因此可能很多曾工作于英偉達(dá)的員工信息同樣遭到了泄露。

3月1日，英偉達(dá)發(fā)布官方聲明：其獲悉了一起影響IT資源的網(wǎng)絡(luò)安全事件。在發(fā)現(xiàn)事件后不久，英偉達(dá)進(jìn)一步強(qiáng)化了網(wǎng)絡(luò)，聘請了網(wǎng)絡(luò)安全事件響應(yīng)專家，并通知了執(zhí)法部門。

英偉達(dá)在聲明中寫道，沒有證據(jù)表明勒索軟件被部署在NVIDIA環(huán)境中，或者該事件與俄羅斯-烏克蘭沖突有關(guān)。但是，英偉達(dá)知道黑客從其系統(tǒng)中獲取了員工密碼和一些公司專有信息，并開始在網(wǎng)上泄露這些信息。英偉達(dá)的團(tuán)隊(duì)正在努力分析這些信息，所有員工都被要求更改密碼，預(yù)計(jì)該事件不會(huì)對其業(yè)務(wù)或客戶服務(wù)造成影響。

事件發(fā)生之初，LAPSUS$要求英偉達(dá)刪除其限制挖礦（Lite Hash Rate，LHR）功能，否則就會(huì)公開“the hardware（硬件）”文件夾，據(jù)悉其中有英偉達(dá)GPU原理圖、源代碼和未來幾代英偉達(dá)GPU產(chǎn)品的信息。此外，LAPSUS$宣布將以100萬美元的價(jià)格出售加密nerf的bypass。

由于全球缺芯和加密貨幣大漲，自2021年以來，顯卡價(jià)格飛速飆升，引起了大量游戲玩家和消費(fèi)者不滿。針對這一情況，英偉達(dá)在2021年2月推出了LHR，限制了GeForce RTX 3080、3070和3060 Ti等型號(hào)顯卡的挖礦能力，以期減少挖礦者搶購顯卡的行為。

因此，LAPSUS$的勒索條件頓時(shí)引發(fā)了關(guān)注，被視為支持加密貨幣挖礦。上周二，LAPSUS$改變了其勒索條件，要求英偉達(dá)開源其用于macOS、Windows和Linux設(shè)備的圖形芯片驅(qū)動(dòng)程序，且截止時(shí)間為上周五。

▲黑客組織LAPSUS$對英偉達(dá)的勒索要求

值得關(guān)注的是，針對黑客攻擊，英偉達(dá)曾嘗試加密被盜數(shù)據(jù)，甚至反過來侵入黑客組織。

因?yàn)長APSUS$在虛擬機(jī)環(huán)境中制作了副本，反擊并未成功。該組織發(fā)帖稱，一早起來發(fā)現(xiàn)了英偉達(dá)用勒索軟件對其進(jìn)行了攻擊，但備份的存在阻止了這次反擊。帖子還不屑地表示：“為什么他們認(rèn)為可以連接到我們的私人計(jì)算機(jī)并安裝勒索軟件?！?/p>

至今，英偉達(dá)仍未滿足LAPSUS$的開源要求。

02.三星多敏感算法、源代碼泄露高通機(jī)密信息遭牽連

除了英偉達(dá)，三星電子也成為了LAPSUS$的攻擊目標(biāo)。

上周五，LAPSUS$組織泄露了三星電子的機(jī)密文件。該組織將從三星電子竊取的數(shù)據(jù)拆分為三個(gè)壓縮文件，共有近190GB大小，這些泄露內(nèi)容可以用BitTorrent協(xié)議獲得。

LAPSUS$組織宣稱，其獲取了三星TrustZone環(huán)境中安裝的每個(gè)受信任小程序（TA）的源代碼（可用于硬件加密、二進(jìn)制加密、訪問控制等敏感操作），所有生物特征解鎖操作的算法，所有最新三星電子設(shè)備的引導(dǎo)加載程序源代碼，來自高通的機(jī)密源代碼，三星電子激活服務(wù)器的源代碼，以及用于授權(quán)和驗(yàn)證三星電子賬戶的技術(shù)的完整源代碼（包括API和服務(wù)）。

▲三星內(nèi)部機(jī)密文件截圖

LAPSUS$組織還在文件中附有對三個(gè)壓縮文件的簡單說明。

第1個(gè)壓縮文件包括有關(guān)Security/Defense/Knox/Bootloader/TrustedApps和其他各種項(xiàng)目的源代碼和相關(guān)數(shù)據(jù)的轉(zhuǎn)儲(chǔ)；第2個(gè)壓縮文件包含有關(guān)設(shè)備安全和加密的源代碼和相關(guān)數(shù)據(jù)；第3個(gè)壓縮文件則包含來自三星GitHub的各種存儲(chǔ)庫：移動(dòng)防御工程、三星賬戶后端、三星通行證后端/前端和SES（Bixby、Smartthings、商店）等。

▲泄密數(shù)據(jù)拆分后的文件夾

據(jù)外媒報(bào)道，已有400多人下載這些泄露數(shù)據(jù)。LAPSUS$還聲明將部署更多服務(wù)器以提升文件下載速度。

三星電子作為全球消費(fèi)電子龍頭，全球共有數(shù)億名用戶，每五部智能手機(jī)中就有一部來自三星電子。外媒稱，面對這樣的安全威脅，三星電子必須要考慮攻擊背后的潛在影響。

三星電子在接受韓媒采訪時(shí)回應(yīng)，他們現(xiàn)在正在評(píng)估情況。

03.巴西衛(wèi)生部、葡萄牙媒體曾被攻擊影響數(shù)百萬人生活

今天，LAPSUS$再次出手，讓人們在英國電信公司沃達(dá)豐（Vodafone）、葡萄牙媒體集團(tuán)Impresa和南美電子商務(wù)公司MercadoLibre &MercadoPago三家公司中匿名投票，選擇泄露哪家公司的數(shù)據(jù)。目前，沃達(dá)豐獲得了最高54%的票數(shù)，或許將成為下一個(gè)數(shù)據(jù)泄露受害者。

▲LAPSUS$組織投票結(jié)果截圖

雖然對英偉達(dá)和三星電子的攻擊讓LAPSUS$聲名鵲起，但其此前已有多次黑客攻擊。

去年12月，LAPSUS$攻擊了巴西衛(wèi)生部的網(wǎng)站，竊取了50TB的數(shù)據(jù)，導(dǎo)致數(shù)百萬人無法獲得疫苗數(shù)據(jù)。元旦期間LAPSUS$攻擊了葡萄牙最大的傳媒集團(tuán)Impresa，集團(tuán)網(wǎng)站、SIC TV頻道和Expresso網(wǎng)站被迫下線。

LAPSUS$聲稱，其可以訪問Impresa的亞馬遜網(wǎng)絡(luò)服務(wù)賬戶，并從Expresso認(rèn)證的推特賬號(hào)上發(fā)布了推文，以證明自己擁有訪問權(quán)限。同時(shí)，南美電信提供商Claro和Embratel也在被攻擊之列。

在LAPSUS$組織的信息泄露投票公司中，已獲得了54%投票的沃達(dá)豐此前也遭受了黑客攻擊。

據(jù)外媒報(bào)道，2月7日，沃達(dá)豐位于葡萄牙的子公司遭受攻擊，其4G和5G網(wǎng)絡(luò)遭到“摧毀”，并停止了固定語音、電視、短信以及語音和數(shù)字應(yīng)答服務(wù)，影響了該公司430萬手機(jī)用戶和340萬光纖用戶。

葡萄牙網(wǎng)絡(luò)運(yùn)營商Multibanco ATM提到這次攻擊導(dǎo)致其服務(wù)“偶爾出現(xiàn)不穩(wěn)定”，且救護(hù)車運(yùn)營商、消防部門和醫(yī)院等公共服務(wù)也受到影響。

這次襲擊的細(xì)節(jié)并未披露，也不能確定是LAPSUS$組織所為。沃達(dá)豐葡萄牙公司首席執(zhí)行官M(fèi)ário Vaz稱，該公司沒有收到任何表明它受到勒索軟件攻擊的贖金要求，也沒有跡象表明攻擊者訪問了用戶信息或其他敏感數(shù)據(jù)。

04.結(jié)語：三星、英偉達(dá)被攻擊體現(xiàn)數(shù)據(jù)安全重要性

隨著全球信息化，黑客攻擊的數(shù)量正在急劇增加，個(gè)人計(jì)算機(jī)、企業(yè)官網(wǎng)、公共服務(wù)數(shù)據(jù)庫等都已成為黑客攻擊的目標(biāo)，日益泛濫的攻擊已成為全球信息安全的重要挑戰(zhàn)。

事實(shí)上，在半導(dǎo)體領(lǐng)域無論是機(jī)密信息還是工廠運(yùn)營都面臨黑客攻擊的挑戰(zhàn)。早在2018年，臺(tái)積電就曾因機(jī)臺(tái)攜帶病毒，而發(fā)生數(shù)十億新臺(tái)幣的損失。同樣，芯片知識(shí)產(chǎn)權(quán)、軟硬件代碼和布局作為半導(dǎo)體廠商的重要財(cái)產(chǎn)，其泄露也有可能造成嚴(yán)重的后果。本次，LAPSUS$組織對三星電子和英偉達(dá)的襲擊，再次體現(xiàn)了對網(wǎng)絡(luò)和數(shù)據(jù)防護(hù)的重要性。

來源：英國每日電訊報(bào)、Bleeping Computer、Ars Technica