CeritaNegri Kumpulan Berita dan Informasi dari berbagai sumber yang terpercaya
Lapsus$
Sebuah geng ransomware bernama Lapsus $, yang bertanggung jawab atas pelanggaran minggu lalu di organisasi chip besar NVidia, mengklaim sekarang telah berhasil melanggar produsen Korea Samsung, dan menerbitkan 190GB statistik sensitif secara online. Pelanggaran terhadap organisasi utama bukanlah hal yang baru, meskipun dalam hal ini penyerang tidak hanya mencuri kredensial atau konten terkait bisnis, itu langsung ke permata mahkota, itu adalah kode pasokan dari beberapa firmware milik agensi. Serangan rantai pasokan telah berkembang ke ukuran yang belum pernah terjadi sebelumnya dalam beberapa tahun terakhir.
Memiliki kepemilikan dan kontrol atas kode sumber tersebut mungkin akan menciptakan respons rantai pasokan yang besar, yang dapat menyebabkan banyak bisnis dan mesin meradang dan dirugikan karena keduanya, firmware dan perangkat keras NVidia dan Samsung secara besar-besaran dialokasikan secara global.
Keadaan, kemudian dijelaskan dalam informasi, memungkinkan malware untuk masuk ke mesin, bahkan seandainya mereka seharusnya disertakan dengan menggunakan era perlindungan, dengan bantuan sertifikat curian ditandatangani dan dikonfirmasi sebagai valid dan jujur, sementara pada kenyataannya ada malware yang disembunyikan. Selain menjadi salah satu perkembangan teratas dalam lanskap keamanan cyber di seluruh dunia secara global, serangan rantai pasokan telah berlipat ganda dalam jumlah dan mencapai selama 12 bulan terakhir, bahkan mengorbankan kelompok-kelompok penting seperti departemen pemerintah AS, bersama dengan tempat kerja keamanan tempat asal.
Dalam tanggapan publik mereka yang memiliki reputasi baik, NVidia memperkenalkan: “Kami tidak memiliki bukti ransomware yang dikerahkan di lingkungan NVIDIA atau bahwa ini terkait dengan pertempuran Rusia-Ukraina. “Namun, kami sadar bahwa aktor ancaman mengambil kata sandi karyawan dan beberapa statistik kepemilikan NVIDIA dari struktur kami dan telah mulai membocorkannya secara online.”
Samsung secara resmi berbicara kembali dan mengkonfirmasi pelanggaran pada hari Senin, 7 Maret: “Ada pelanggaran keamanan mengenai catatan agensi dalam yang positif,” kata seorang otentik Samsung. Menurut evaluasi awal kami, pelanggaran tersebut melibatkan beberapa kode sumber mengenai pengoperasian gadget Galaxy, namun tidak lagi mencakup statistik non-publik klien atau personel kami. Saat ini, kami tidak mengharapkan dampak apa pun terhadap bisnis atau pelanggan kami.”
Apa yang bisa kita kenali tentang pelanggaran baru-baru ini dengan bantuan Lapsus $?
Melalui kesadaran profesional, NVidia mengakui bahwa mereka telah menyadari tentang “insiden perlindungan cyber, yang berdampak pada sumber TI. Lapsus$ mengklaim tugas dan telah meminta Nvidia untuk menghilangkan fitur harga hash lite (LHR). LHR dibuat untuk membatasi peningkatan penambangan Ethereum dalam kartu gambar seri RTX 30-nya, karena komunitas cryptomining menghabiskan stok pada awal 2021. Organisasi ini juga meminta Nvidia untuk membuka sumber driver GPU-nya untuk perangkat macOS, Windows, dan Linux.
Gagal memenuhi tuntutan mereka, Lapsus $ mengancam akan mengirimkan kode sumber NVidia, yang digunakan dalam driver dan firmware. Namun, geng itu tidak lagi mencegah di sana. Pada tanggal 5 Maret mereka memposting hampir 190GB tanggal sensitif yang diterima dari era Korea besar, Samsung.
Lembaga ini pertama kali menerbitkan foto perintah C / C ++ pada perangkat lunak Samsung yang diamati dengan deskripsi kebocoran yang akan segera terjadi, yang menyatakan bahwa itu termasuk kode pasokan rahasia Samsung. Dalam konfirmasi yang sah kemudian, Samsung memverifikasi bahwa hampir 200GB catatan pribadi yang menggabungkan kode pasokan untuk berbagai teknologi dan algoritma untuk operasi biometrik gratis telah dilanggar.
Bagaimana sertifikat yang ditandatangani dapat memasok malware?
Sebagai bagian dari kebocoran NVidia tentu saja sertifikat penandatanganan kode dicuri yang digunakan oleh pengembang NVidia untuk menandatangani driver dan executable mereka.Menurut salah satu sumber yang baik, penyerang sudah mulai menggunakan sertifikat penandatanganan kode ini untuk memberi sinyal malware sehingga akan tampak seperti dapat diandalkan dan melalui penyaringan Windows untuk dimuat dan diselesaikan. Sertifikat penandatanganan kode benar-benar memungkinkan tanda tangan virtual pada executable dan driver untuk mengizinkan mereka dan menandainya sebagai “dibersihkan”. Dengan menggunakan sertifikat yang dicuri itu, penyerang hampir menyamarkan file dan executable sebagai valid dan mungkin melewati jalan keamanan, memungkinkan malware diunggah ke Windows.
Kebocoran Samsung juga diduga termasuk kode pasokan bootloader untuk perangkat Samsung saat ini, algoritma untuk semua operasi pembebasan biometrik, kode pasokan untuk server aktivasi Samsung, kode sumber total yang digunakan untuk mengotentikasi tagihan Samsung, dan kode sumber rahasia Qualcomm.Kelompok Check Point Research (CPR) terus melacak keadaan dalam mencari ancaman kemampuan tambahan yang akan muncul. Kami akan memperbarui sesuai dengan itu. Pencegahan pertama – Apa yang ingin Anda lakukan untuk tetap diselimuti
Organisasi harus sangat khawatir tentang penetrasi malware ke jaringan perusahaan mereka melalui sertifikat curian yang disebutkan di atas.Sayangnya, beberapa layanan keamanan di pasar masih menunjukkan agen untuk peluang rantai pasokan ini, karena mereka tampaknya secara rutin mencabut sertifikat yang dicuri, kemungkinan besar melihat bahwa mereka memperhitungkan penjual yang membuat sertifikat seperti yang diandalkan melalui default.Untuk menjaga keamanan infrastruktur TI lengkap Anda, kami sarankan untuk memastikan gateway keamanan jaringan Anda, selain jawaban keamanan perangkat endpoint Anda, telah diperbarui dengan perlindungan yang tepat terhadap sertifikat yang dicuri. Kami juga menganjurkan agar Anda mengunduh pembaruan perangkat lunak dari situs web pemasok formal dan mengganti seluruh personel Anda untuk melakukan hal yang sama. Pelanggan Check Point terus disertakan
Pelanggan Check Point mendapatkan manfaat keselamatan preemptive dari setiap serangan berantai pengiriman yang mungkin timbul dari sertifikat yang dicuri.Sayangnya, beberapa jawaban keamanan di pasar masih mengungkapkan perusahaan untuk risiko rantai pengiriman ini, karena mereka tampaknya secara robot menyetujui sertifikat yang dicuri, meskipun mereka telah dicabut, kemungkinan besar melihat bahwa mereka mengingat kembali vendor yang membuat sertifikat sebagai tepercaya dengan menggunakan default.Baik Anda menggunakan Check Point untuk stabil cloud komunitas atau tim pekerja Anda, Anda mendapatkan manfaat pencegahan yang benar dibandingkan dengan kesempatan yang disebutkan di atas melalui Check Point ThreatCloud.ThreatCloud menggabungkan 60+ pencegahan risiko dan teknologi AI dengan kecerdasan peluang yang dibagikan secara global yang berasal dari ratusan ribu dan ribuan sensor internasional, dan diperkaya dengan wawasan dari Check Point Research.
Barang dagangan di bawah ini memanfaatkan pembawa emulasi bahaya Check Point ThreatCloud, teknologi sandboxing 0 hari yang revolusioner, untuk menemukan dan memblokir sertifikat yang dicuri itu agar tidak menembus. Cara ini benar-benar otomatis dan tidak lagi memerlukan tindakan apa pun melalui orang tersebut. Lebih khusus lagi:Gerbang keamanan Check Point Quantum akan melindungi komunitas dan fasilitas informasi Anda dari malware.Check Point Harmony Endpoint, seluruh perlindungan endpoint, dan jawaban EDR akan melindungi karyawan Anda dari mengunduh dokumen berbahaya atau executable untuk melukis laptop dan PC dan mencegah kebocoran fakta dan pergerakan lateral malware ke sistem yang berbeda.Check Point Harmony Mobile, solusi Pertahanan Ancaman Seluler terkemuka di industri, akan mencegah karyawan mengunduh file dan paket berbahaya dan karenanya mencegah kompromi catatan perusahaan komersial yang sensitif.
Originally posted 2022-03-24 20:31:27.