【CSDN 编者按】2022年2月26日，英伟达遭到黑客组织Lapsus$攻击，大量员工信息以及近1TB的数据被窃取。

　　Lapsus$要求英伟达公布所有产品上限制显卡挖矿性能的LHR (Lite Hash Rate)，否则会将所有数据公开。

　　由于英伟达并未做出任何举措，Lapsus$泄露了大量的员工信息和多达20GB的文件存档。

　　除此之外，泄露的内容中还包括两个被盗的代码签名证书，用于英伟达开发人员签署驱动程序和可执行文件。

　　整理

　　 郭露

　　出品

　　 CSDN（ID：CSDNnews）

英伟达代码签名证书遭泄露

　　在Lapsus$泄露英伟达的代码签名证书后， 安全研究人员发现这些证书被用于签署恶意软件和使用其他工具。

　　根据上传到VirusTotal恶意软件扫描服务的样本，被盗证书被用于签署各种黑客工具，例如 Cobalt Strike信标和Mimikatz等等。

　　例如，其中一名用户使用该证书对Quasar远程访问木马VirusTotal签名，而有的还使用该证书对Windows驱动程序VirusTotal进行签名。

Quasar RAT由英伟达证书签名（图源自BleepingComputer）

　　尽管两个被盗的证书均已过期，但Windows仍允许将使用证书签名的驱动程序加载到操作系统中。

　　因此，如果使用这些被盗的证书，使用者就能使他们的恶意驱动程序看起来像合法的程序并能够由Windows加载。

　　由于英伟达对此一直没有最初回应，3月4日，黑客发出最后通牒：Windows、Linux和macOS系统的GPU驱动必须在今天内开源，否则将公开全部的1TB机密数据。

三星也未能幸免？泄露多达190GB文件

　　不仅如此，据BleepingComputer报道，当天Lapsus$还公布了大量三星的机密数据。其中包括：

　　三星TrustZone环境中安装的每个受信任小程序 (TA) 的源代码，用于硬件加密、二进制加密、访问控制等；

　　所有生物特征解锁操作的算法；

　　所有最新三星设备的引导加载程序源代码；

　　来自高通的机密源代码；

　　三星激活服务器的源代码；

　　用于授权和验证三星账户的技术的完整源代码，包括API和服务。

　　Lapsus$将窃取数据拆分为三个压缩文件，这些文件增加了近 190GB，并以torrent形式提供，其中包括400多项内容。Lapsus$还表示，将提供更多服务器以提高下载速度。

图源自BleepingComputer

　　同时Lapsus$还对文件夹中的每个文档的内容进行了简要说明：

　　第1部分为有关Security/Defense/Knox/Bootloader/TrustedApps以及其他项目的源代码和相关数据的转储；

　　第2部分为有关设备安全和加密的源代码及其相关数据的转储；

　　第3部分包含三星Github的各种存储库：移动防御工程、三星账户后端、三星通行证后端/前端和SES（Bixby、Smartthings、商店）。

　　若上述消息准确，三星将遭受重大数据泄露，公司可能面临巨大损害。目前我们尚不清楚Lapsus$是否向三星索要赎金，我们也将继续跟进具体情况，敬请期待。

　　【参考资料】

　　https://www.bleepingcomputer.com/news/security/hackers-leak-190gb-of-alleged-samsung-data-source-code/

　　https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/

　　https://www.bleepingcomputer.com/news/security/hackers-to-nvidia-remove-mining-cap-or-we-leak-hardware-data/

　　——

　　《新程序员001-004》全面上市，对话世界级大师，报道中国IT行业创新创造