Nvidia : des assaillants pris à leur propre jeu par le DLP ?

Nvidia a confirmé certaines allégations du groupe pratiquant la cyberextorsion dit Lapsus$. Ce dernier avait déclaré avoir compromis le réseau interne du fondeur et volé des données exclusives.

Dans une déclaration à SearchSecurity (groupe TechTarget), le géant des cartes graphiques a reconnu avoir subi une cyberattaque fin février, mais assuré que les activités de l’entreprise n’avaient pas été affectées.

« Le 23 février 2022, Nvidia a pris connaissance d’un incident de cybersécurité qui a affecté les ressources informatiques. Peu de temps après avoir découvert l’incident, nous avons renforcé notre réseau, engagé des experts en réponse aux incidents de cybersécurité et informé les forces de l’ordre », a déclaré la société.

« Nous n’avons aucune indication de déploiement d’un ransomware sur l’environnement Nvidia ou que cela soit lié au conflit Russie-Ukraine. Cependant, nous sommes conscients que l’acteur de la menace a pris des informations personnelles des employés et certaines informations propriétaires de Nvidia sur nos systèmes et a commencé à les divulguer en ligne. Notre équipe travaille à l’analyse de ces informations. Nous ne prévoyons aucune perturbation de notre activité ou de notre capacité à servir nos clients à la suite de cet incident », explique le fondeur plus avant.

La confirmation de Nvidia intervient après un article du Telegraph selon lequel une cyberattaque avait perturbé certaines activités pendant deux jours. Plus tard, un groupe connu sous le nom de Lapsus$ a affirmé avoir compromis le système d’information de Nvidia. Bien que ce dernier ait confirmé la semaine dernière qu’il examinait l’incident, il n’avait pas confirmé l’existence d’une attaque ni fourni d’informations sur l’incident avant la fin du week-end.

Le groupe relativement peu connu Lapsus$ a déclaré avoir volé environ 1 To de données, dont des détails sur le développement de produits à venir.

Dans le cadre de sa tentative d’extorsion, le groupe a exigé que Nvidia supprime le LHR (lite hash rate), une modification du micrologiciel qui réduit la capacité du GPU à effectuer les calculs utilisés pour miner des cryptopépettes, dans le but de décourager les mineurs de monopoliser les cartes graphiques. Les pirates ont depuis commencé à divulguer certaines des données volées.

Lapsus$ a également fait sourciller en accusant Nvidia d’avoir contre-attaqué. Selon l’équipe de Lapsus$, une personne travaillant pour Nvidia ou agissant en son nom aurait utilisé des outils d’administration à distance pour localiser le système utilisé par le cyber-gang.

Mais Marcus Hutchins et d’autres experts y voient autre chose : selon eux, les observations rapportées par Lapsus$ suggèrent qu’un agent de prévention des fuites de données (DLP) utilisé en interne par Nvidia ait été installé par mégarde par les assaillants, sur la machine virtuelle utilisée pour conduire leur attaque. De fait, expliquent les cyber-délinquants, l’accès au VPN du fondeur nécessite l’enrôlement du poste client dans le système de gestion des terminaux mobiles (MDM) utilisé par Nvidia. Les activités des assaillants pourraient dès alors avoir déclenché une règle de prévention des fuites de données et entraîné le chiffrement de leur machine virtuelle.