Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.

랩서스

삼성, 6개월 만에 2번째 데이터 유출··· 이번엔 美 고객

삼성전자가 9월 5일(미국 현지 시각) 지난 7월에 미국 내 자사 시스템에서 데이터 유출이 발생했다고 공개했다. 삼성전자는 신원불명의 공격자가 8월 4일 자사 시스템에 접근해 고객 개인 정보를 빼냈다는 사실을 발견했다고 밝혔다.  성명은 “2022년 7월 말 제3자가 삼성의 미국 시스템 중 일부에서 정보를 입수했다. 2022년 8월 4일 전후에 시점 진행 중인 조사를 통해 특정 고객의 개인 정보가 영향을 받는 것으로 확인됐다”라는 내용이었다.   삼성전자는 유출된 데이터에 주민등록번호나 신용카드 정보는 없었지만 경우에 따라 이름, 연락처 및 인구 통계 정보, 생년월일, 제품 등록 정보는 포함될 수 있다고 설명했다. 또한 사용자에 따라 개인 정보 침해 수준은 다를 것이라고 덧붙였다.  이번 사태로 피해를 본 사용자가 얼마나 되는지는 밝혀지지 않았다.  삼성은 해당 시스템을 보호하기 위한 보안 조치를 취하고 외부 사이버 보안 회사와 계약했으며 사법 기관과도 협력하고 있다고 전했다. 또한 일부 피해 고객과 직접 소통하고 있으며, 조사를 진행하면서 더 많은 고객에게 연락해 피해 상황을 파악할 예정이라고 밝혔다.  회사 측은 "이번 사태에 일반 사용자 기기는 영향을 받지 않았으며, 평소처럼 당사 제품과 서비스를 계속 사용할 수 있다"라고 말했다.    벌써 올해 2번째 보안사고 지난 3월 삼성은 갤럭시 스마트폰 관련 소스코드가 포함된 내부 회사 데이터가 유출되는 또 다른 보안 침해 피해를 겪었다. (한편 회사 측은 이번 해킹에 갤럭시 기기 작동과 관련된 일부 소스코드가 포함됐지만 사용자나 직원의 개인정보는 포함되지 않았다고 밝혔다)  3월에 벌어진 데이터 유출 사건은 랩서스(Lapsus$) 해킹 그룹이 190기가바이트(GB) 규모의 삼성전자 데이터를 탈취해 온라인에 유출하며 주목 받았다. 블리핑컴퓨터 등 IT 전문 외신은 랩서스가 이날 "삼성의 기밀 소스코드"라며, 190G...

데이터유출 보안사고 보안사고대응 2022.09.07

‘반짝 출현 후 사라진’ 10대 해킹단체 랩서스 수법과 대비책

미국 사이버보안 회사 테너블(Tenable)의 선임 연구 엔지니어 클레어 틸스가 블로그에 해킹그룹 랩서스(Lapsus$)를 추적해 조사한 결과를 발표했다. 랩서스의 공격 수법에 대해 “겁 없고, 터무니없으며 단순하기 짝이 없다”라고 평가했다.   랩서스는 마이크로소프트, 삼성, 엔비디아, 보다폰, 유비소프트, 옥타 같은 유명한 회사를 공격해 이목을 집중시켰다. 데이터를 탈취하거나 랜섬웨어로 피해 기업을 갈취하기도 했다.  랩서스가 악명을 얻기까지 다른 사이버 범죄 조직과 달리, 랩서스는 오직 자체 텔레그램 채널을 통해 운영된다. 다크 웹에서 유출 사이트를 운영하지 않는다. 지금까지 데이터를 갈취할 회사를 골라 달라며 텔레그램에 커뮤니티에 물어보는 방식으로 공격할 기업을 언급해왔다. 랩서스는 단순한 수법으로 파격적인 공격 방식을 전개해 많은 이를 당황케 했다. 예를 들어, 올해 초에는 고객 센터 제공업체 시텔(Sitel)의 컴퓨터 시스템에 침입하는 것을 시작으로 단계적인 해킹 전략을 구사했다. 이를 통해 시텔과 협력하는 클라우드 보안 업체 옥타에서 일하는 지원 엔지니어의 노트북까지 해킹해 결국 옥타의 기업 네트워크까지 침투했다. 틸스에 따르면, 랩서스 그룹은 다음과 같이 꽤나 보편적인 수법을 사용해왔다:    외부에 공개된 로그인 정보를 이용하거나 다크웹에서 로그인 정보를 구매하여 공격할 기업의 네트워크에 초기 접근  비밀번호 도용 직원들에게 대가를 지급해 접근 정보 구매  헬프데스크의 도움을 받거나 인증요청을 대량으로 살포해 다중 인증 절차 우회  VPN, 가상 데스크톱, 마이크로소프트 쉐어포인트, 가상 데스크톱 같은 애플리케이션에 로그인해 추가 크리덴셜 및 중요 정보 탈취  지라(Jira), 깃랩(GitLab) 및 컨플루언스(Confluence) 같은 소프트웨어의 미패치 취약점을 악용해 시스템 접근 권한 획득  노드VPN(NordVPN...

랩서스 테너블 랜섬웨어 2022.08.16

영국 경찰, '랩서스' 관련 범죄 혐의로 10대 청소년 2명 기소

전 세계 각국에서 랜섬웨어 공격 집단 랩서스(LAPSUS$)에 대한 수사를 진행하는 가운데 영국 경찰이 랩서스 관련 해킹 범죄에 대한 혐의로 10대 2명을 기소했다.    랩서스는 클라우드 기반 인증 소프트웨어 업체인 옥타(Okta)의 내부 시스템 데이터 유출을 포함해 엔비디아, 마이크로소프트, 삼성전자, LG전자까지 최근 세간의 이목을 끈 대규모 사이버 공격의 배후에 있는 것으로 알려진 집단이다. 앞서 영국 경찰은 3월 22일 랩서스에 대한 조사의 일환으로 영국 전역에서 16~21세 사이의 7명을 체포했다고 밝힌 바 있다. 여러 사이버 범죄 혐의로 기소된 10대 영국 시티오브런던 경찰(City of London Police) 소속 경위 마이클 오설리반은 "런던시 경찰은 해킹 그룹 구성원에 대한 수사를 진행했다. 16살과 17살 10대 2명이 이 수사와 관련해 기소됐고, 경찰에 구금된 상태다"라고 말했다. 기소된 10대 2명은 데이터 신뢰성을 훼손하기 위한 목적으로 컴퓨터에 무단으로 접근한 혐의 3건, 데이터 접근을 방해할 의도로 컴퓨터에 무단 접근한 혐의 1건, 허위 진술에 의한 사기 1건에 대한 혐의를 받고 있다. 특히 16세 피의자는 컴퓨터가 프로그램에 대한 무단 액세스를 보호하는 기능을 수행하도록 조작한 혐의도 받고 있다. 랩서스 수사와 관련해 기소된 두 사람은 모두 청소년이므로 성명, 주소, 학교, 또는 개인을 식별할 수 있는 정보를 공개하지 않는 보도 금지 제한을 자동으로 적용 받는다. 4월 1일 하이버리 코너 치안 법원(Highbury Corner Magistrates Court)에 출석한 것으로 알려졌다. editor@itworld.co.kr

옥타 마이크로소프트 삼성전자 2022.04.04

랜섬웨어 집단 랩서스 "옥타도 뚫었다" 주장

랜섬웨어 집단 랩서스(LAPSUS$)가 클라우드 기반 인증 소프트웨어 업체인 옥타(Okta)의 내부 시스템에 침입해 고객 데이터에 접근했다고 주장했다.   이번 사건은 화상회의업체인 줌(Zoom)의 수석 보안 엔지니어인 빌 데미르카피가 3월 21일 트위터에 처음으로 알렸다. 데미르카피가 텔레그램에서 가져와 온라인 상에 게재한 화면 캡처에 따르면, 랩서스는 옥타의 데이터베이스를 표적으로 한 것이 아니라 옥타 고객을 표적으로 삼았다. 또한 슈퍼유저 접속권한과 옥타의 내부 지라(Jira) 및 슬랙(Slack) 인스턴스의 화면 캡처를 보여줬다.  22일 오전, 옥타 CEO 토드 맥킨논은 트위터에 다음과 같이 답변했다. "2022년 1월 말, 옥타는 보조처리업체(Subprocessor) 중 한 곳에서 일하는 고객 지원 엔지니어의 계정을 해킹하려는 시도를 탐지했다. 이 문제는 해당 보조처리업체가 조사해 마무리했다. 현재 온라인 상에 회자되는 화면 캡처는 지난 1월에 있었던 사건과 연관이 있다고 생각한다. 지금까지 조사에 의하면, 1월에 탐지된 활동 이외에 악의적인 움직임은 없었다."   22일 오후, 옥타는 공식 성명을 통해 "옥타 서비스는 침해되지 않았으며, 온전하게 운영되고 있다. 고객이 취해야 할 조치는 없다"라고 밝혔다. 이 성명에서 최고 보안 책임자인 데이비드 브래드버리는 “공격자가 지원 엔지니어의 노트북에 접근할 수 있었던 것은 2022년 1월 16~21일까지 5일 동안이었다”라고 설명했다. 따라서 침해는 해당 엔지니어가 일반적으로 갖고 있는 접근 권한(지라 티켓과 사용자 목록을 포함)으로 제한되며, 사용자 생성이나 삭제, 고객 데이터베이스를 다운로드하는 권한은 없었다는 것이다. 브래드버리는 “영향을 받을 가능성이 있는 고객을 특정해 연락을 취하는 등 적극적으로 조사하고 있다”라고 덧붙였다.   클라우드플레어(Cloudflare) CEO 매튜 프린스는 앞서 자신의 회사가 해킹 당했는지 확인하지는 못했지...

랩서스 옥타 LAPSUS$ 2022.03.23

'엔비디아 해킹' 탈취된 코드 서명 인증서 악용 우려

최근 엔비디아의 시스템에 침입한 해커 그룹이 엔비디아의 오래된 코드 서명 인증서 2가지를 공개했다. 이에 따라 해당 인증서로 커널 수준의 악성 프로그램에 서명하고, 드라이버 서명 인증을 받은 시스템에 악성코드를 삽입할 우려가 높다.    해커는 엔비디아로부터 GPU 드라이버용 API 문서와 소스코드를 포함해 총 1TB의 대용량 캐시를 탈취했다고 주장하며 그 일부인 인증서를 공개했다. 엔비디아는 해커가 "직원의 암호와 엔비디아 사유 정보 일부를 탈취했다"라며 공격을 인정했으나, 침해 데이터의 크기는 공개하지 않았다. 엔비디아에 무슨 일이 있었는가 지난 2월 24일 랩서스(LAPSUS$)라고 알려진 해커 그룹이 다양한 엔비디아 시스템에 접근할 수 있는 관리자 액세스 권한을 취득했으며, 약 일주일 동안 하드웨어 설계도부터 드라이버 소스코드, 펌웨어, 문서, 개인 툴 및 SDK까지 총 1TB의 데이터를 탈취했다고 주장했다. 탈취 데이터에는 프로그래밍 오류 방지를 위해 엔비디아 GPU에 내장된 하드웨어 보안 기술 '팔콘(Falcon)'에 대한 모든 자료도 포함된 것으로 알려졌다. 엔비디아는 사이버 공격으로 인해 데이터 침해가 있었다는 사실은 확인했으나 구체적인 피해 내용은 밝히지 않았다. 랩서스는 주장에 대한 근거로 20GB의 탈취 데이터를 공개했다.  주장에 따르면, 랩서스는 엔비디아 LHR(Lite Hash Rate)에 대한 정보도 입수했다. 엔비디아 LHR은 암호화폐 이더리움 채굴 여부를 감지해 성능을 낮추는 기술로, RTX 30 시리즈 GPU에 도입됐다. GPU가 암호화폐 채굴에 사용되면서 지속적인 재고 부족 현상이 이어지자 암호화폐 채굴자가 엔비디아 GPU를 구매하지 않도록 하려는 조치였다. 랩서스는 엔비디아 LHR에 대한 정보 입수를 증명하기 위해 사용자가 GPU 펌웨어를 덮어쓰지 않고 LHR 제한을 우회하는 툴을 공개했다. 이후 랩서스는 엔비디아 측에 리눅스를 포함한 모든 시스템에서 GPU 드라이버를 완전히 오픈소스화 ...

엔비디아 랩서스 LAPSUS$ 2022.03.07

IDG 설문조사

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.