Hi-Tech

«Это проблема всей отрасли»: разбор расследования Bloomberg о китайских шпионских чипах

Подробная история и экспертный анализ происходящих событий.

В закладки

Поделиться

Согласно интервью с правительственными и корпоративными экспертами, китайцы скомпрометировали цепочку поставок микросхем в США и шпионили за тремя десятками американских компаний, среди которых Amazon и Apple. 4 октября издание Bloomberg рассказало о том, что в США с 2015 года расследуют масштабную кибератаку со стороны Китая.

Спецслужбы Китая могли получить доступ к серверам компаний и полностью контролировать оборудование, удаленно подключаться к компьютерам и внедрять вредоносный код в операционную систему.

Apple, Amazon и другие участники публикации Bloomberg отрицают всё происходящее, а рынок акций китайских компаний начал падать.

Обложка Businesweek с публикацией расследования. Источник: Multichannel

Предпосылки для расследования

Инженеры понимали, что в скором времени технологическим компаниям понадобятся инструменты для конвертирования записанного видео в различные форматы для смартфонов, ноутбуков и других устройств. В 2006 году три инженера из Орегона разрабатывали технологию сжатия потокового видео, которая значительно сокращала время обработки больших видеофайлов. Компанию назвали Elemental Technologies.

Первые клиенты Elemental — мормонская церковь, которая вела прямую трансляцию проповеди в конгрегациях по всему миру, а также представители порно-индустрии. По словам бывшего советника компании, сервера Elemental продавались по цене до $100 тысяч с себестоимостью около 70%.

Elemental объявила о партнерстве с инвестиционным подразделением ЦРУ In-Q-Tel. В 2009 году компания начала работать с американскими шпионскими агентствами. Elemental начала поставлять сервера в АНБ, ЦРУ и другие службы правительства США.

Для этого компании понадобились высокопроизводительные сервера. В 2015 году Amazon начала расширять возможности потокового видео Amazon Prime Video. Технологии Elemental использовались во время трансляции Олимпийских игр, связи с Международной космической станцией и обработки спутниковых снимков в ЦРУ. Она рассматривала покупку Elemental Technologies.

В рекламных материалах компания демонстрировала, что её сервера используются в центрах обработки данных Министерства обороны США, на военных кораблях ВМС для передачи бортовых задач, внутри правительственных зданий для шифрованных конференций, а также в NASA, в Конгрессе и департаменте внутренней безопасности. Elemental позиционировала себя как крупного производителя сетевого оборудования. Статус Elemental превратил компанию в мишень для врагов США.

Штаб-квартира компании находилась в Сан-Хосе в Калифорнии, там же производились материнские платы для продукции, рядом с крупнейшими клиентами. Для создания серверов Elemental использовала мощности компании Supermicro.

Её продукция используется в различных видах вычислительной техники: от МРТ до систем вооружения. Сейчас Supermicro доминирует на рынке серверных материнских плат, капитализация компании превышала $1 млрд.

Сборочные установки находятся в Калифорнии, Нидерландах и Тайване, но основной продукт — материнские платы, изготавливаются китайскими подрядчиками. Материнские платы установлены в кастомных серверах в банках, хедж-фондах, поставщиках облачных сервисов и веб-хостерах.

Фабрика Supermicro. Фото Glassdoor

По информации источников Bloomberg, пока неясно, были ли шпионы, стоящие за потенциальной атакой, внутри Supermicro или других американских компаний. В Сан-Хосе большинство сотрудников разговаривают на двух языках — китайском и английском.

Бывший сотрудник американской разведки, изучавший Supermicro, сравнивает проникновение микросхем компании с проникновением на компьютеры Windows. В 2015 году у Supermicro было 900 клиентов в ста странах. Уязвимость в материнских платах компании похожа на уязвимость на Windows. «Подумайте о Supermicro, как о Microsoft в мире аппаратного обеспечения. Это нападение сразу на весь мир», — говорит он.

Как Amazon нашёл уязвимости

Возможности Elemental хорошо сочетались с необходимым уровнем безопасности облачного сервиса Amazon — Amazon Web Services (AWS), который компания также предлагала ЦРУ для работы. Работа Elemental с ЦРУ не испугала Amazon, компании заключили сделку о покупке Elemental.

Высокопроизводительные сервера Elemental, которые использовались для обработки видео, собирала компания Super Micro Computer (Supermicro). Для оценки безопасности Elemental специалисты AWS наняли подрядчика, который с первой же проверки обнаружил неладное.

В конце весны 2015 года сотрудники Elemental объединили несколько серверов и отправили их в Онтарио, Канаду, в стороннюю компанию-безопасника для тестирования. Это один из крупнейших поставщиков серверных материнских плат, которые используются в том числе в центрах обработки больших и малых данных.

Тестировщики обнаружили на материнских платах в серверах инородные крошечные микрочипы, которые не были частью оригинальной материнской платы.

Анимация, демонстрирующая шпионский чип. Источник: Bloomberg

Сервера Elemental использовались в центрах обработки данных министерства обороны США, беспилотниках ЦРУ и бортовых сетях военных кораблей ВМФ США. Amazon сообщила о находке властям США, отправив предупреждение в ЦРУ. И Elemental был лишь одним из сотен клиентов Supermicro.

Они выяснили, что чипы позволяли создавать невидимый бэкдор («чёрный ход») в любую сеть, где использовались модифицированные сервера. На протяжении трёх лет неизвестные микросхемы изучали специалисты. Источники Bloomberg говорят, что чипы были установлены на фабриках-субподрядчиках в Китае.

Источник: Bloomberg

Аппаратные уязвимости сложнее обнаружить, они могут быть разрушительнее, поскольку у них есть способность скрытно работать на протяжении нескольких лет, а на их разработку и обнаружение тратятся миллионы долларов. По мнению Bloomberg, эта скрытая атака серьезнее, чем традиционные уязвимости в ПО, которые периодически обнаруживают специалисты.

Почему обвиняют Китай

Первый — установка «жучков» во время передачи устройства от производителя к клиенту. В кибершпионаже существует два способа изменения «внутренностей» компьютерного оборудования. Этим могут пользоваться страны, производящие оборудование самостоятельно. Второй — модификация микросхем на заводе. Здесь основное преимущество у Китая — Bloomberg подмечает, что страна производит 75% смартфонов и 90% всех компьютеров в мире.

В разговоре с Bloomberg два оперативника из КНР подтвердили находку американских следователей: «жучки» были вставлены во время производственного процесса. Но чтобы внедрить «жучки», нужно хорошо понимать в разработке продуктов, манипулировать компонентами на заводе и обеспечивать грамотную логистику, чтобы партия модифицированных микросхем попала в нужное место.

Фото: Bloomberg

Китайские спецслужбы нашли в Supermicro идеальный канал для шпионажа за официальными лицами США: это самая большая сеть поставок шпионского оборудования, которая когда-либо проводилась против американских компаний.

Один из чиновников КНР сказал Bloomberg, что атака затронула около 30 компаний, в том числе банк, правительственных подрядчиков, а также Apple и Amazon.

В Apple три инсайдера признались Bloomberg, что летом 2015 года они обнаружили вредоносные чипы на материнских платах Supermicro, после чего разорвала связь с компанией. Apple являлась важным клиентом Supermicro и хотела заказать около 30 тысяч серверов для новой сети центров обработки данных.

17 источников Bloomberg

Издание Bloomberg нашло семнадцать анонимных экспертов из Amazon, администрации правительства и высокопоставленных должностных лиц АНБ, которые подтверждают информацию о шпионских чипах.

К примеру, источники сообщают о сотрудничестве Amazon c американскими властями и признании Apple жертвой шпионских атак.

Косвенно подтверждают факт шпионажа со стороны Китая новые санкции администрации Трампа. Один из чиновников рассказал Bloomberg, что целью Китая был долгосрочный доступ к корпоративным секретам и правительственным сетям, но данные украдены не были.

Считается, что это поможет перенести производство из Китая в другие страны, что увеличит безопасность корпоративных и правительственных сетей. Среди новых запретов — поставки компьютерного и сетевого оборудования, в том числе материнских плат.

Как работает хак, по словам официальных лиц США

Некоторые микросхемы проектировались так, чтобы маскироваться под разветвители сигнала. Китайские силовые структуры спроектировали и произвели микрочипы размером с заостренный кончик карандаша.

Чип мог модифицировать данные из памяти, выполнять собственный код на уровне BMC, который имеет приоритет выполнения операций. Чип подключался к цепям соединения BMC-контроллера с SPI Flash или EEPROM-памятью, на которой хранилась прошивка.

if ($blockData['tweet'] instanceof \Osnova\Andropov\Adapters\Tweet): ?>

@dinodaizovi @ivladdalvi Many BMC chips are on both the LPC and PCIe bus (for VGA emulation), which might allow runtime code injection, and often have the SPI flash muxed in so that they can perform x86 firmware updates, allowing SMM rootkits or other persistence. https://t.co/t1WviTBtxr

13

12

endif; ?>

Через него чип получал доступ к сетевым функциям и системной памяти, мог получать инструкции извне и модифицировать прошивку. Внутри BMC находятся память, сетевое и вычислительное оборудование с достаточной для атаки мощностью.

Атакующие могли через взломанный BMС полностью контролировать оборудование и менять настройки, к примеру, отключать аутентификацию и открывать доступ в сеть для удаленного доступа, управлять сетевыми накопителями и прошивками и внедрять вредоносный код в операционную систему.

  • Микрочипы устанавливались на китайских фабриках Supermicro, одного из крупнейших в мире поставщиков серверных материнских плат.
  • Модифицированные материнские платы использовали при сборке серверов Supermicro.
  • Саботированые сервера устанавливалсь в центры обработки данных в десятках американских компаний.
  • Когда сервера подключались и включались, микрочипы активировались и начинали работать в спящем режиме, ожидая команды хакеров.

Процесс расследования

В 2014 году представители разведки отправляли доклад в Белый дом с конкретным предупреждением: военные Китая планируют использовать Supermicro для шпионажа. До того, как доказательства нападений появились в американских компаниях, разведка США сообщала о том, что китайские шпионы планировали использовать вредоносные чипы в производственном процессе. Конкретных источников Bloomberg не называет.

Без подтверждения о уже совершенной атаке ФБР было ограничено в ответных действиях. Сложность состояла в том, что предупреждение о потенциальной угрозе клиентов Supermicro могла привести к прекращению существования крупного американского производителя аппаратных продуктов, а цели китайских шпионов были неизвестны. Белый дом периодически запрашивал обновления о ситуации, но обнародовать информацию не стал.

Два инсайдера из Apple подробно рассказали о своей находке, но информация не выходила за пределы страны. Источники Bloomberg говорят, что Apple обнаружила подозрительные чипы в серверах Supermicro в мае 2015 года — возникли неполадки в прошивке и подозрительная сетевая активность.

Amazon покупает Elemental. Источник: Amazon

Разведка США и ФБР смогли провести расследование и изучить принцип работы чипов. Amazon после покупки Elemental дала доступ к подозрительному оборудованию для анализа.

По словам одного из источников Bloomberg, в подробном отчете подрядчика по кибербезопасности, отправленного в Amazon, присутствовали фотографии и рентгеновские снимки микросхем — они были практически незаметны внутри материнской платы.

В зависимости от модели материнской платы чипы отличались по размеру. Бело-серые микросхемы были больше похожи на часть компоновки для передачи сигнала, чем на обычный чип, поэтому без специального оборудования их было практически невозможно обнаружить. Bloomberg предполагает, что разные партии поставлялись с разных фабрик.

Чип на материнской плате Supermicro управлял основными командами, которые сообщали серверу что делать, когда данные передаются по материнской плате. Должностные лица, знакомые с расследованием, говорят, что основная роль шпионских микросхем — открыть «двери» для других атак.

Вредоносный чип размещался так, чтобы редактировать очередь команд к процессору, вставляя собственный код или изменяя порядок инструкций, которые должен выполнять процессор. В определенный момент передачи данных небольшой набор бит операционной системы сохранялся во временной памяти платы по пути к процессору.

Но они могли делать две операции: заставлять сервер обмениваться информацией с анонимными компьютерами в интернете и подготавливать процессор к выполнению команд, которые придут с анонимного компьютера. Небольшой размер чипов позволял запускать малое количество команд.

Также шпионские чипы были подключены к контроллеру управления основной платой — чипу, который предоставлял администраторам низкоуровневый доступ к данным даже на сломанных и выключенных компьютерах.

К примеру, чип-имплантат мог изменить часть кода, отвечающего за проверку пароля — система перестанет его запрашивать и доступ к ней получит любой подключившийся. Эта система позволяла злоумышленникам получить доступ к работе устройства и бесследно изменять его по своим нуждам. Аномалии будут распознаваться как необъяснимый сбой. Также он мог красть ключи шифрования безопасной связи, блокировать обновления безопасности, отвечающие за поиск уязвимостей.

Спецслужбы США начали проверять цепочку поставок Supermicro в обратном направлении. В отличие от программных хаков, манипуляции на аппаратном уровне можно отследить: компоненты приходят со счетами-фактурами, материнские платы с серийными номерами, которые проставляются на определенных фабриках.

Фабрика Supermicro в Тайване. Источник: Habr

Когда у поставщиков появлялось большое количество заказов, часть работы отдавалась субподрядчикам. Всего в 2016 году у Supermicro было три основных производителя материнских плат: две штаб-квартиры на Тайване и одна в Шанхае.

В результате расследования они вышли на четыре фабрики-подрядчика, которые производили материнские платы Supermicro не менее двух лет. Чтобы определить конечный завод-производитель, американские спецслужбы перехватывали сообщения, прослушивали осведомителей на Тайване и в Китае, отслеживали людей через смартфоны.

В некоторых случаях к руководству завода приходили люди, которые представлялись сотрудниками Supermicro или спецслужбой и заставляли вносить изменения в платы, предлагая взятки. По информации Bloomberg, американским спецслужбам удалось увидеть процесс изменения материнских плат. Если это не срабатывало — угрожали руководителям инспекциями и закрытием завода.

Существование этого подразделения не стало публичным — это лишь слова одного из источников Bloomberg. Следователи пришли к выводу, что эти действия — работа подразделения армии КНР, специализирующегося на «железных» атаках.

В прошлых атаках подразделение КНР взаимодействовало с проектами для высокопроизводительных компьютеров и вычислительных систем крупных американских интернет-провайдеров. Предполагается, что это подразделение сосредоточено на приоритетных целях — продвинутых коммерческих технологиях и компьютерах военных из других стран.

Как действовали Amazon и Apple во время расследования

Apple приобрела стартап Topsy Labs, чтобы создавать небольшие ЦОД (центр обработки данных) в крупных городах или около них. Apple использовала микросхемы Supermicro в центрах обработки данных до 2013 года, а к 2013 году отношения между компаниями укрепились. Три инсайдера Apple рассказали, что проект назывался Ledbelly и предназначался для ускорения работы Siri.

К 2015 году количество заказанных серверов должно было удвоиться. Согласно документам, которые получило Businesweek, в 2014 году Apple планировала заказать 6000 серверов Supermicro для размещения в 17 городах, ещё 4000 для уже существующих дата-центров. Ledbelly был одним из крупнейших проектов, над которыми работала Supermicro.

Компания не предоставила данные правительственным службам и не пустила их в свою сеть, поэтому степень атаки остаётся неизвестной. Специалисты по безопасности обнаружили проблемы с серверами после установки 7000 машин в сеть Apple.

В течение нескольких недель компания заменила все 7000 серверов. Apple начала удалять микросхемы Supermicro из серверов летом 2015 года, спустя несколько недель после обнаружения шпионажа. В 2016 году Apple разорвала отношения с Supermicro.

Вместо этого чиновники обратились к особо важным клиентам компании с предупреждением, что их данные могли быть скомпрометированы из-за жучков в оборудовании. Официальные лица США предупреждали, что аппаратные средства китайских Huawei и ZTE подвергались воздействию со стороны китайских властей, но аналогичного заявления насчёт американской Supermicro не было.

Центры обработки данных AWS в Китае были построены на базе серверов Supermicro — их проверили и обнаружили измененные материнские платы, причем некоторые были модифицированы сложнее, чем выявленные ранее. Amazon в сентябре 2015 года приобрела Elemental за $350 млн и планировала перенести производство чипов, материнских плат и серверов на собственные мощности, без участия Китая.

Офис Amazon Web Services в Китае. Фото Century Refinement Construction

Размер чипа не превышал заостренный кончик карандаша. К примеру, чипы были достаточно тонкими и встраивались между слоями текстолита, а поверх были прикреплены другие компоненты платы.

Bloomberg считает, что злоумышленники либо ждали команды о полномасштабной атаке, либо уже проникли в сеть до начала мониторинга сообщений. Чтобы не спугнуть шпионов, Amazon разработала способ исследовать чипы и обнаруживала короткие сообщения между хакерами и модифицированными серверами, но попыток удалить данные не было.

Amazon передала контроль над пекинским ЦОД местному партнеру Beijing Sinnet, чтобы соблюдать китайские законы. В 2016 году Китай собирался принять новый закон о кибербезопасности, который развязывал руки для предоставления властям доступа к конфиденциальным данным. А в ноябре продала всю инфраструктуру за $300 млн и избавилась от компрометирующих серверов.

Финансовые проблемы Supermicro

Компания вовремя не подала квартальные и годовые финансовые отчеты, из-за чего 23 августа 2018 года Supermicro исключили из Nasdaq. Кроме потери двух крупных клиентов и обнаружения шпионских чипов, Supermicro преследовали финансовые проблемы. Bloomberg считает, что это необычно для компании, чей годовой доход вырос с $1,5 млрд в 2014 году до прогнозируемых $3,2 млрд в 2018 году.

Сетевая плата Supermicro. Источник: Server the Home

Реакция на расследование США и Китая

Китай пообещал не поддерживать кражи интеллектуальной собственности США со стороны китайских хакеров. В конце сентября 2015 года президент США Барак Обама и президент Китая Си Цзиньпинь на короткой пресс-конференции заключили соглашение о кибербезопасности.

По информации Bloomberg, США этого было мало — правительство считало, что Китай уже разработал более продвинутые методы взлома, основанные на монополии в области производства микросхем.

Поставщик оборудования не назывался, но, по словам инсайдеров Bloomberg, речь шла о Supermicro. Через несколько недель после подписания соглашения правительство США собрало руководителей и инвесторов технологических компаний и рассказало о недавнем нападении, предложив разработать коммерческие продукты по поиску аппаратных жучков.

Благодаря развитию производства микросхем в Юго-Восточной Азии со стороны США крупнейшие технологические компании смогли получить должное развитие. В заключении Bloomberg говорит о том, что проблема не только технологическая, но и идеологическая. К примеру, Apple производила оборудование самостоятельно до 1992 года, пока не закрыла завод в Калифорнии и не перенесла производство за рубеж.

Считалось, что Китай не поставит под угрозу статус мирового производственного гиганта, позволив своим спецслужбам вмешиваться в дела фабрик. По словам Bloomberg, десятилетиями безопасность производства технологического оборудования за рубежом была основана на договорах и вере, несмотря на предупреждения властей.

Технологические гиганты рискнули получить много и дёшево, за что могли поплатиться. На этой вере принимались решения о создании коммерческих систем — компании хотели использовать самую большую и дешёвую производственную мощность.

Bloomberg считает, что способ быстрого обнаружения шпионских чипов либо уже разработан, либо будет разработан в скором времени, но ресурсы на разработку есть лишь у таких компаний, как Amazon и Apple. Прошло три года.

Реакция компаний и властей на публикацию Bloomberg

Первое расследование Bloomberg опровергают все фигуранты, за исключением тех, кто отказался от комментариев.

  • Amazon отрицает сотрудничество с ФБР, а информацию о том, что компания знала о саботаже цепи поставок и вредоносных чипах назвали «ложью». Представители Amazon заявляют, что вся информация об Elemental проверена и подтверждений о шпионских чипах и изменении аппаратного обеспечения нет. Единственные выявленные проблемы касались только ПО Supermicro, которые быстро устранили.
  • Apple опубликовала категорическое отрицание всех фактов, рассказанных Bloomberg, а также отправила в Конгресс США письмо, в котором подробно описывает каждое упоминание Apple в статье. Компания заявляет, что после каждого запроса Bloomberg в течение 2017-2018 годов проводили внутренние проверки и не находили следов взлома или уязвимостей.
  • Apple в строгой форме выразила сожаление о навыках журналистов, которые «оказались неспособны представить, что их источники могут быть неправы или обладать ложной информацией». По словам Apple, компания не находила никаких уязвимостей в Supermicro, никаких шпионских модулей, никогда не связывалась с ФБР или другими ведомствами из-за найденных проблем.
  • Также Apple предполагает, что основанием для публикации мог стать инцидент 2016 года, когда на одном из серверов Supermicro обнаружили эксплойт в драйвере и, по предположению журналистов, после этого компания отказалась от сотрудничества с производителем сетевого оборудования.
  • Supermicro также отрицает результаты расследования. Компания заявляет, что никто не разрывал отношения из-за обнаружения шпионских чипов. «Supermicro не производит сетевое оборудование, а покупает его у других производителей, как это делают другие ведущие производители хранилищ данных и серверов», — заявляют специалисты Supermicro.
  • Отрицает расследование Министерство иностранных дел КНР. По их словам, оно само страдает от проблем в цепи поставок и предлагает перейти от обвинений и подозрений к сотрудничеству и конструктивному диалогу.
  • Агентство национальной безопасности США и британская разведка заявили, что у них нет поводов сомневаться в заявлениях Apple и Amazon. 11 октября 2018 года АНБ начало поиск свидетелей, которые могли бы подтвердить информацию Bloomberg. Сейчас информация, которую передают в АНБ, исходит от людей, которые «слышали её от других людей, которые, в свою очередь тоже получили её от кого-то третьего», говорит эксперт АНБ Роб Джойс.
  • Журналисты Buzzfeed связались со своими источниками в Apple и те не смогли подтвердить историю Bloomberg.

Реакция экспертов

Консультант Bloomberg Джо Фитцпатрик

В подкасте Risky Business он заявил, что издание вырвало его слова из контекста и исказило смысл. Эксперт по безопасности Джо Фитцпатрик, на которого ссылался Bloomberg в материале о шпионских чипах, отрицает содержимое статьи.

Джо Фитцпатрик. Источник: Nag

Фитцпатрик описал, как можно реализовать атаку с аппаратными имплантатами и рассказал о работе устройства, которое собрал для хакерской конференции Black Hat два года назад. По его словам, журналисты Bloomberg хотели узнать подробности, как устроены схемы взлома на аппаратном уровне.

К примеру, в сентябре у него спросили о том, как мог бы выглядеть соединитель или антенный усилитель — эксперт отправил ссылку на онлайн-магазин Mouser. Теоретические предположения журналисты Bloomberg выдали за реальность, заявляет Фитцпатрик. В статье приведено изображение с этого сайта.

Джо Фитцпатрик на конференции Defcon. Фото: Hybridtechcar

Он отмечает, что для такого же результата проще модифицировать прошивку контроллера управления материнской платой, а вставка чипа может легко привести к его обнаружению. Также эксперт сомневается в реальности упомянутого способа взлома, так как есть более простые способы это сделать. Логично использовать уязвимости в уже имеющихся компонентах, которые отвечают сразу за несколько функций.

Специалист по кибербезопасности Омер Шварц

В разговоре с изданием Motherboard Шварц подтвердил, что история Bloomberg правдоподобна, но нуждается в подтверждении. Специалист по кибербезопасности в израильском университете Бен-Гурион Омер Шварц в прошлом году разрабатывал концепт уязвимости цепочки поставок, похожий на вариант в Bloomberg.

Шварц хотел бы увидеть разрезанный чип или его рентген: «Это стандартная процедура анализа подозрительной микросхемы, она позволила бы понять возможности устройства».

Производитель рентгеновских аппаратов Creative Electron

Генеральный директор производителя рентгеновских аппаратов Creative Electron Билл Кардосо рассказал Motherboard о разработке технологии, которая позволяет идентифицировать подобный вид взлома микросхемы.

Проверка чипов на рентгене. Источник: Vice

Она была оснащена системой машинного обучения, которая распознает корректные платы и обнаруживает посторонние элементы. В 2016 году Creative Electron работала с коммерческой организацией по поставке рентгеновского оборудования для проверки плат.

TechCrunch

Журналист TechCrunch Зак Уиттакер полагает, что Bloomberg находится в затруднительном положении из-за содержимого — они не могут предоставить источники и фотографии, так как они затрагивают национальную безопасность и могут повлиять на само расследование или его фигурантов.

Как Bloomberg отвечает на критику публикации

В ответ на многочисленные отказы компаний и правительства, издание продолжает настаивать на правдивости публикации.

По словам пресс-секретаря Bloomberg, Джо Фитцпатрик не был одним из анонимных источников, а его цитата использовалась в качестве гипотетического примера того, как могла бы развиваться атака при активации вредоносного чипа.

Кроме Фитцпатрика у журналистов были другие источники, которые подтвердили конкретные способы работы чипа, а информацию они получали непосредственно у тех, кто знал о скомпрометированных материнских платах Supermicro.

Утверждения о неточностях информации могут исходить от тех, кто попросту не знает о происходящем, так как не задействован в расследовании. Представители Bloomberg считают, что о расследовании знала лишь небольшая группа людей из разных ведомств и представителей компаний.

У компаний уровня Apple и Amazon могут быть обособленные службы безопасности, которые обнаружили шпионский чип и напрямую работали со спецслужбами. Издание The Register считает, что это правдоподобное объяснение.

Но так же журналисты Bloomberg могли ошибиться в технических подробностях, недостаточно хорошо проверить факты или столкнуться с дезинформацией со стороны спецслужб. Корпоративное разделение безопасников обеспечило буфер, который позволяет корпорациям публиковать правдивые отчеты и не ожидать снижения стоимости акций.

Вторая статья Bloomberg о китайской атаке на телекоммуникационную компанию США

Спустя неделю журналисты Bloomberg опубликовали вторую статью, косвенно связанную с первой — в ней также говорится о кибератаках на США со стороны КНР.

Эксперт по кибербезопасности Йосси Эпплбаум, изучавший безопасность в одной из крупнейших американских телекоммуникационных компаний, рассказал Bloomberg, что в августе 2018 года в оборудовании Super Micro нашли и удалили шпионский имплантат, который был встроен в Ethernet — сетевой разъем сервера.

Этот метод похож на описание имплантата из документов АНБ, которое попало в открытый доступ в 2013 году.

Источник: Wikipedia

Металл рассеивал тепло от микрочипа, скрытого внутри, работающего как микрокомпьютер. Один из ключевых признаков имплантата — у Ethernet-разъёма были металлические стороны вместо пластиковых.

Он считает, что компания стала жертвой китайских спецслужб. По заявлению Эпплбаума, подобные манипуляции с устройствами он видел в различных компьютерах, производимых китайскими подрядчиками, а не только в продуктах Super Micro.

Основная цель использования имплантатов — создание скрытой шпионской сети внутри инфраструктурных сетей. Эпплбоум беспокоится, что в Китае есть целые схемы в цепочке поставок, где можно внедрять шпионские чипы без возможности их обнаружения.

Это позволяет различным разведслужбам (в том числе американским) без особых препятствий использовать «железо» для шпионажа, а особенно преуспел в этом Китай из-за объёмов поставок. Эксперты по национальной безопасности США в разговоре с Bloomberg признали, что в отрасли кибербезопасности выделяется мало денег на проверку оборудования на модификации.

Сетевая плата Asrock с Ethernet-портами. Источник: Server the Home

Supermicro — только пример. Китайская разведка и службы безопасности могут получить доступ к цепочке поставок в ИТ-сфере, чтобы создавать и внедрять современные замаскированные чипы-шпионы, считает бывший глава кибербезопасности в национальной разведке США Шон Канак. Проблема может быть куда глубже и серьезнее

Если Bloomberg выделяет сервера Supermicro в своих историях, Эпплбаум выражает уверенность, что это проблема всей отрасли, могут быть затронуты любые серверные и сетевые производители. Специалист серверного рынка Патрик Кеннеди в издании Server The Home взял дополнительное интервью у Эпплбаума.

Йосси Эпплбаум. Кадр из видео Sepio Systems RSAC 2017 на Youtube

Он заявил, что есть два варианта: либо расследование сконцентрируется вокруг Supermicro, либо эксперты признают, что существует постоянная угроза вмешательства в цепь поставок оборудования, которая лежит в основе всей глобальной экономики в технологическом рынке.

По его словам, программные и аппаратные атаки на контроллеры управления материнской платы были и раньше — у каждого крупного поставщика серверов в США, Китае и других странах, а спихивать всё на одного безответственно. Патрик Кеннеди убежден, что Supermicro лишь потерпевшая компания и соглашается с Эпплбаумом.

К примеру, STH публиковала уязвимость iDRACula, которая позволяла хакерам получать доступ к контроллерам в устаревших серверах Dell EMC определенных поколений и взаимодействовать с ними.

Эпплбаум считает, что крупные американские бренды скомпрометированы одним и тем же методом, а Supermicro не имеет к этому никакого отношения. В статье Bloomberg Эпплбаум ссылается не только на Supermicro: уязвимости находят не только на серверах компании, но и в другом сетевом оборудовании различных производителей, даже в обычных Ethernet-коммутаторах.

Производитель не знает, что за микросхема придёт к нему в конечном итоге. Между производителем и клиентом существует цепочка поставок, в которой участвуют сотни людей, на каждом этапе может произойти что угодно.

Проблема, по словам Эпплбаума, куда глубже: при неоходимости хакеры или правительственные агенты могут модифицировать не только продукцию производителя, но и микросхемы, отвечающие за проверку микросхем на уязвимости, в результате чего жучки никогда не найдут.

Кто угодно может использовать цепочки поставок технологического оборудования в своих целях. Эпплбаум считает, что расследование и публикации смещены в сторону Supermicro, это совершенно неправильно — сконцентрировавшись на одном, теряется главная проблема. И доверять в этой ситуации нельзя никому. Неважно, какая страна или организация.

Патрик Кеннеди делает следующие выводы из всей ситуации и призывает задуматься:

  • Bloomberg проделала отличную работу, вскрыв глобальную проблему технологического рынка.
  • Проблема Supermicro — проблема всей отрасли, в обозримом будущем это повлияет на все компании, которые обеспечивают инфраструктуру и современные технологии.
  • Расследование должно доказать, что заявления компаний правдивы и нет манипуляции фондовым рынком и мнением акционеров.
  • Необходимо ещё больше внимания уделять безопасности и проверке оборудования. Технологический рынок должен измениться.

Реакция рынка на публикации

Акции Supermicro после публикации

  • Стоимость акций Supermicro упала на 60%.
  • Стоимость Apple и Amazon упала на 1,8%.
  • Азиатские технологические компании ощутили спад: Lenovo и ZTE подешевели на 18% и 11%, причем для Lenovo это крупнейшее падение за 10 лет. Последствия для Lenovo серьезные: аналитики JPMorgan Chase&Co посоветовали сокращать покупку акций компании в ближайшие полгода, так как 75% выручки Lenovo получает за пределами Китая из которых 30% — в США.
  • Тайваньская Semiconductor Manufacturing подешевела на 1,6%.
  • 11 октября 2018 года индекс S&P 500, куда входят 500 акций американских компаний из разных отраслей, упал на 3,29% на закрытии — до $2785. Индекс NYSE FANG+, на который влияет стоимость акций 10 технологических американских и китайских компаний (Facebook, Apple, Amazon, Netflix, Google, Alibaba, Baidu, Nvidia, Tesla и Twitter), упал на 5,6%, а с начала октября — на 10%.
  • The Bell считает, что падение связано с торговой войной между Китаем и США.

Карта акций компаний, которые входят в S&P 500. Причины падения — торговая война с Китаем и публикация Bloomberg.

Анализ ситуации от Fortune

Они считают, что у спецслужб был мотив для работы над подобными шпионскими чипами — любая страна хочет получать преимущество в разведданных. Журналисты Fortune проанализировали политическую и экономическую сторону доклада.

Китай является производственным центром множества электронных устройств и находится в выгодном положении, чтобы использовать эту возможность. Данные можно получать через интернет, но надежнее и выгоднее постоянно контролировать устройства или захватывать их с помощью аппаратных имплантатов.

Если китайский завод попадётся на шпионаже, это может стать национальной катастрофой, поэтому у многих экспертов возникают сомнения в реальности доклада Bloomberg. Но в то же время Китай хочет сохранить свой статус лидера производства — это основной узел экономики страны.

Bloomberg говорит о том, что расследование началось ещё во время Обамы, но публикация хорошо ложится на политику Дональда Трампа, который ведет торговую войну с Китаем. Есть ещё одна причина, по которой мог появиться доклад — политические отношения между США и Китаем. Трамп обвиняет Китай в хищении интеллектуальной собственности и старается заставить технологические компании, особенно Apple, перенести производство в США.

И у инвесторов есть причины для беспокойства. Поэтому Fortune считает, что есть большая вероятность, что публикация Bloomberg — «дополнительные боеприпасы» в противостоянии с Китаем.

Несмотря на то, что Apple в истории Bloomberg фигурирует только в области серверов, которые больше не использует, давление на компанию со стороны Трампа будет продолжаться — где компания собирается производить новые устройства через несколько лет неизвестно, неопределенность негативно влияет на китайский рынок.

if ($blockData['tweet'] instanceof \Osnova\Andropov\Adapters\Tweet): ?>

Apple prices may increase because of the massive Tariffs we may be imposing on China - but there is an easy solution where there would be ZERO tax, and indeed a tax incentive. Make your products in the United States instead of China. Start building new plants now. Exciting! #MAGA

28133

112394

endif; ?>

Также компания планирует полностью его выкупить для своих нужд. 11 октября стало известно, что Apple за $300 млн купит часть европейского производителя микросхем Dialog Semiconductor, с которым работает ещё с первого iPhone. Возможно, что так компания постепенно отказывается от китайского производства. А 12 октября CultofMac сообщило о том, что тайваньская TSMC останется эксклюзивным производителем процессоров Apple в 2019 году.

У инвесторов есть страх, что если китайские военные сумели внедриться в продукцию американского производителя Supermicro, то договориться с собственными производителями им не составит большого труда. Также неизвестно, как технологический скандал повлияет на остальных китайских производителей, к примеру, Lenovo, акции которой продолжают падать.

#какэтобыло #apple #amazon

Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть