英伟达代码签名证书遭窃取？三星也未能幸免，泄露多达190GB文件

英伟达代码签名证书遭泄露

在Lapsus$泄露英伟达的代码签名证书后， 安全研究人员发现这些证书被用于签署恶意软件和使用其他工具。

根据上传到VirusTotal恶意软件扫描服务的样本，被盗证书被用于签署各种黑客工具，例如 Cobalt Strike信标和Mimikatz等等。

例如，其中一名用户使用该证书对Quasar远程访问木马VirusTotal签名，而有的还使用该证书对Windows驱动程序VirusTotal进行签名。

Quasar RAT由英伟达证书签名（图源自BleepingComputer）

尽管两个被盗的证书均已过期，但Windows仍允许将使用证书签名的驱动程序加载到操作系统中。

因此，如果使用这些被盗的证书，使用者就能使他们的恶意驱动程序看起来像合法的程序并能够由Windows加载。

由于英伟达对此一直没有最初回应，3月4日，黑客发出最后通牒：Windows、Linux和macOS系统的GPU驱动必须在今天内开源，否则将公开全部的1TB机密数据。

三星也未能幸免？泄露多达190GB文件

不仅如此，据BleepingComputer报道，当天Lapsus$还公布了大量三星的机密数据。其中包括：

• 三星TrustZone环境中安装的每个受信任小程序 (TA) 的源代码，用于硬件加密、二进制加密、访问控制等；

• 所有生物特征解锁操作的算法；

• 所有最新三星设备的引导加载程序源代码；

• 来自高通的机密源代码；

• 三星激活服务器的源代码；

• 用于授权和验证三星账户的技术的完整源代码，包括API和服务。

Lapsus$将窃取数据拆分为三个压缩文件，这些文件增加了近 190GB，并以torrent形式提供，其中包括400多项内容。Lapsus$还表示，将提供更多服务器以提高下载速度。

图源自BleepingComputer

同时Lapsus$还对文件夹中的每个文档的内容进行了简要说明：

• 第1部分为有关Security/Defense/Knox/Bootloader/TrustedApps以及其他项目的源代码和相关数据的转储；

• 第2部分为有关设备安全和加密的源代码及其相关数据的转储；

• 第3部分包含三星Github的各种存储库：移动防御工程、三星账户后端、三星通行证后端/前端和SES（Bixby、Smartthings、商店）。

若上述消息准确，三星将遭受重大数据泄露，公司可能面临巨大损害。目前我们尚不清楚Lapsus$是否向三星索要赎金，我们也将继续跟进具体情况，敬请期待。

【参考资料】

https://www.bleepingcomputer.com/news/security/hackers-leak-190gb-of-alleged-samsung-data-source-code/

https://www.bleepingcomputer.com/news/security/malware-now-using-nvidias-stolen-code-signing-certificates/

https://www.bleepingcomputer.com/news/security/hackers-to-nvidia-remove-mining-cap-or-we-leak-hardware-data/

《新程序员001-004》全面上市，对话世界级大师，报道中国IT行业创新创造