NEWS

Hack-Back erfolgt, aber nicht erfolgreich

NVIDIA von Ransomware betroffen (3. Update)

Portrait des Authors


NVIDIA von Ransomware betroffen (3. Update)
40

Werbung

Offenbar sind einige Systeme bei NVIDIA von einer Ransomware angegriffen und Daten entwendet worden. Noch ist nicht ganz klar, wie genau die Angreifer auf interne Systeme von NVIDIA gelangen konnten. Ransomware kann auf dem einfachsten Wege durch eine simple Fishing-Mail mit verseuchtem Anfang injiziert werden, es kann aber auch notwendig sein mittels Social-Engineering ein paar mehr Details des Zielsystems kennen zu müssen bzw. stufenweise vorzusehen.

Die Südamerikanische Hackergruppe LAPSUS$ soll 1 TB an Daten von den internen Systemen extrahiert haben. Gegenüber von TheVerge bestätigte NVIDIA bisher nur, dass es einen Vorfall gegeben habe:

"We are investigating an incident. Our business and commercial activities continue uninterrupted. We are still working to evaluate the nature and scope of the event and don’t have any additional information to share at this time"

Laut Bloomberg handelt es sich um eine Ransomware-Attacke. Auch die Mail-Systeme von NVIDIA waren offenbar betroffen, was für eine stufenweise Attacke spricht. Über gefälschte E-Mails könnten weitere Mitarbeiter unbewusst dazu beigetragen haben, dass letztendlich Daten abfließen konnten. Der genaue Vorgang ist aber wie gesagt nicht bekannt.

Einen Spin bekommt die Geschichte durch die Tatsache, dass NVIDIA offenbar versucht hat die gestohlenen Daten seinerseits zu verschlüsseln und somit den Zugriff darauf unmöglich zu machen. Dies berichtet VX-Underground, die ihrerseits wiederum eine Sammlung an Source Code, Samples und weitere Details zu Malware vorhalten, um diese der Öffentlichkeit zugänglich zu machen.

Laut dieser Quelle habe NVIDIA zwar die primären Daten erfolgreich verschlüsseln können, allerdings hat die Hackergruppe LAPU$ bereits Backups der Daten an derer Stelle erstellt und somit weiterhin unverschlüsselten Zugriff darauf. Unter den gestohlenen Daten scheint unter anderem der Source Code des Grafiktreibers zu sein. Das ware Ausmaß des Angriffs bzw. der abgeflossenen Daten ist aber noch unbekannt.

1. Update:

Laut Auskunft der Hackergruppe LAPSUS$ hatte man gut eine Woche Zugriff auf die internen Systeme bei NVIDIA. In dieser Zeit habe man Daten mit Informationen zu Treibern, Firmware und technische Zeichnungen kopieren können. Zu den Daten gehören offenbar auch solche zum Sicherheitschip Falcon. Kontakt habe NVIDIA noch nicht aufgenommen, daher habe man sich dazu entschieden nun einige Daten und Details zu veröffentlichen.


Man habe Firmware-Daten zu den VBIOS-Versionen der LHW-Modelle (Low Hash Rate). Dies ermögliche es auf Karten mit GA102- und GA104-GPU die Mining-Bremse zu entfernen. Man fordert NVIDIA auf diese über ein eigenes Firmware-Update für diese Karten zu tun. Andernfalls sei man gezwungen dies selbst zu tun. Den Zorn der Mining-Gegner dürfte die Hackkergruppe damit schon einmal auf sich gezogen haben, was ihnen aber auch reichlich egal sein wird.

Zudem wurde ein erstes großes Datenpaket veröffentlicht. Wie haben die Links aus den Nachrichten der Hackergruppe entfernt. Allerdings ist es nicht schwer zu den entsprechenden Quellen zu gelangen. An dieser Stelle sei darauf verwiesen, dass es strafbar ist, solche Daten herunterzuladen oder weiterzuverbreiten. Auch aus diesem Grund haben wir die Links entfernt.

2. Update

NVIDIA hat ein weiteres Statement mit zusätzlichen Informationen veröffentlicht:

"On February 23, 2022, NVIDIA became aware of a cybersecurity incident which impacted IT resources. Shortly after discovering the incident, we further hardened our network, engaged cybersecurity incident response experts, and notified law enforcement.

We have no evidence of ransomware being deployed on the NVIDIA environment or that this is related to the Russia-Ukraine conflict. However, we are aware that the threat actor took employee credentials and some NVIDIA proprietary information from our systems and has begun leaking it online. Our team is working to analyze that information. We do not anticipate any disruption to our business or our ability to serve our customers as a result of the incident.

Security is a continuous process that we take very seriously at NVIDIA – and we invest in the protection and quality of our code and products daily."

Im Statement wird bestätigt, dass es Angreifern gelungen ist in interne Systeme zu gelangen. Dies sei jedoch nicht per Ransomware geschehen, sondern der oder die Angreifer hätten Anmeldedaten eines Mitarbeiters dazu verwendet. Wie sie an diese gelangt sind, wird nicht erläutert.

Derzeit schaue sich NVIDIA an, welche Daten in fremde Hände gelangt seien. Das Alltagsgeschäft würde davon aber nicht beeinflusst.

3. Update

Aus den veröffentlichten Daten haben verschiedene Quellen inzwischen einige Informationen erlangt. An dieser Stelle sei erwähnt: Wir hatten keinerlei Einblick in diese Daten und werden gestohlenes Eigentum auch nicht zu Recherchezwecken verwenden.

Zunächst einmal wird es wenig überraschend mehrere GPUs (via Videocardz) auf Basis der kommenden Ada-(Lovelace)-Architektur geben. Von AD102 bis AD108 werden den Consumer-Bereich abdecken. Zu den Namen der GPUs gesellen sich inzwischen erste Angaben zur Anzahl der SMs. Der Ausbau wird wenig überraschend stark ansteigen. Zwischen 50 und 60 % mehr Shadereinheiten werden die kommenden GPUs offenbar vorweisen können.

Für das Datacenter lautet der Name der nächsten Generation Hopper. Die übernächste Generation ist nach dem Mathematiker David Blackwell benannt. Technische Details gibt es hier noch keine.

Darüber hinaus befindet sich in den bisher veröffentlichten Daten der Source-Code von DLSS. Die Hacker drohen zudem damit weitere Datensätze zu veröffentlichen, wenn NVIDIA seinen Treiber nicht als Open-Source veröffentlicht.

Quellen und weitere Links KOMMENTARE (40)