Samsung bir suçlu grubunun Galaxy akıllı telefon cihazlarının kaynak kodlarını çaldığını ve güvenlik ihlalini doğruladı. İyi haber şu ki, müşteri verilerinin ihlali görünmüyor ve Samsung ne işine ne de müşterilerine herhangi bir etki beklemediğini söylüyor.
Çalınan 190 GB’lık gizli kodun, Galaxy biyometrik kimlik doğrulama algoritmaları ve önyükleyici kaynak kodunu içermesi ise tam olarak güven verici değil.
Samsung ne zaman hacklendi?
Kesin bir zaman çizelgesi henüz belirlenmemiş olsa da büyük hack haberi ilk olarak 4 Mart’ta Lapsus$ olarak bilinen bir siber gasp çetesinin, sızdırmak üzere olduğu Samsung verileriyle ilgili bir teaser yayınlamasından sonra ortaya çıktı. Bleeping Computer, çalındığı söylenen toplam 190 GB kodun, akıllı telefonun TrustZone ortamındaki güvenilir uygulamaların kaynağını içerdiğini ortaya çıkardı.
Bu size tanıdık geliyorsa, bunun nedeni güvenlik araştırmacılarının Galaxy akıllı telefonların güvenlik açısından hassas Güvenilir Yürütme Ortamının (TEE) bir parçasını oluşturan TrustZone İşletim Sisteminin (TZOS) kriptografik tasarımı ve kod yapısındaki ciddi güvenlik açıklarını ortaya çıkarmasıdır.
Ancak, biyometrik kilit açma algoritmalarının, önyükleyici kaynak kodunun ve Samsung aktivasyon sunucu kodunun da sızdırıldığı iddialarıyla Lapsus$ sızıntı teaser’ı burada durmadı.
Samsung hacklendiğini ne zaman onayladı?
7 Mart’ta Bloomberg’e yapılan bir açıklama ile siber saldırının teyidi geldi.
Samsung yaptığı açıklamada, “İlk analizimize göre, ihlal Galaxy cihazlarının çalışmasıyla ilgili bazı kaynak kodları içeriyor, ancak müşterilerimizin veya çalışanlarımızın kişisel bilgilerini içermiyor” dedi. Ayrıca, 7 Mart itibarıyla Samsung “işletmemiz veya müşterilerimiz üzerinde herhangi bir etki beklemediğini” söyledi ve akıllı telefon devi bunun gibi başka olayları önlemek için önlemler aldığını belirtti.
Lapsus$ kimdir?
2020’de araştırma radarı tarafından tespit edildiğinden beri Lapsus$, Brezilya Sağlık Bakanlığı da dahil olmak üzere bazı büyük isimlere siber saldırı düzenlemiştir. Lapsus$’ın, sızdırılan gizli verilerin yayınlanmasını önlemek için para gerektiren tipik fidye yazılımı sonrası tehdit modelini izlediği düşünülse de genel olarak kabul edilen anlamda herhangi bir fidye yazılımının kullanılıp kullanılmadığı net değildir. Bunun yerine Lapsus$, veri hırsızlığı tarafında görünüyor.
Yakın zamanda NVIDIA’ya saldıran Lapsus$, ekran kartı devinden nakit yerine kripto para madenciliği operasyonlarını engelleyen sınırlayıcıları kaldırması için tuhaf ve neredeyse amatörce bir talepte bulundu. Bunların hiçbiri, 23 Şubat’ta “BT kaynaklarını etkileyen” ve “bazı NVIDIA bilgilerinin” çalınmasını içeren bir siber güvenlik olayının gerçekleştiğini doğrulamanın ötesinde NVIDIA tarafından doğrulanmadı. Ancak o zamandan beri, çalınan NVIDIA kod imzalama sertifikalarının, kötü amaçlı yazılımların Windows cihazlarına bulaşmasına yardımcı olmak için aktif olarak kullanıldığı görülüyor.
Güvenlik uzmanları Samsung ihlali hakkında ne söylüyor?
ESET’te siber güvenlik danışmanı ve Straight Talking Cyber video ekibinin arkadaşı olan Jake Moore, “Bunun gibi veri ihlallerinde genellikle bir fiyat etiketi bulunur, ancak bu kötü aktörler fidye notu olmadan, hedeflenen kurbanlar mümkün olduğunca etkiyi azaltmaya çalışırken, doğrudan verileri serbest bırakmaya başladılar.”
Webroot’ta baş çözüm danışmanı olan Matt Aldridge, bu saldırıların “tehdit istihbarat teknolojileri, güncel yazılım ve işletim sistemleri ve çalışan eğitimleri de dahil olmak üzere siber dayanıklılığı sağlamak ve yeterli teknik savunmaları gerçekleştirmek için tüm kuruluşlara bir ders niteliğinde” olduğunu söylüyor ve ekliyor: “İşletmeler ayrıca herhangi bir veri kaybının etkisini hafifletmek için iyi bir yedekleme stratejisine, veri kurtarma ve geri alma planlarına sahip olmalıdır.”
Kaynak: https://www.forbes.com/sites/daveywinder/2022/03/08/samsung-confirms-massive-galaxy-hack-after-190gb-data-torrent-shared-via-telegram/?sh=359e2a30658c
