Хабрахабр

Появились доказательства присутствия шпионских чипов в серверах Supermicro


Где умный человек прячет листик? В лесу. Где он прячет шпионский чип? В сервере

Ну а сегодня они появились. Только вчера на Хабре была опубликована статья о том, что доказательств присутствия шпионских модулей в оборудовании компании Supermicro нет. Обнаружил их в оборудовании одной из крупнейших телекоммуникационных компаний США эксперт по сетевой безопасности Йосси Эпплбаум.

Относительно недавно она выполняла заказ одного из клиентов (кого именно — Эпплбаум говорить отказался, поскольку он связан условиями NDA), которая решила проверить свое оборудование на предмет наличия уязвимостей или установленных «жучков».
Специалисты Sepio Systems относительно быстро обнаружили проблемный элемент благодаря необычному сетевому трафику. Эксперт является одним из руководителей компании Sepio Systems, которая специализируется на безопасности аппаратных решений. Интересно, что по словам Эпплбаума, он не впервые сталкивается со шпионскими модулями, внедренными именно в Ethernet-порт, причем они были замечены не только в оборудовании Super Micro, но и в продуктах других компаний — китайских производителей «железа». Этим элементом оказался «имплантат», внедренный в Ethernet коннектор сервера.

Промышленные мощности Supermicro находятся в Гуанчжоу, это немногим более сотни километров от Шеньчженя, который назван «Кремниевой долиной hardware». Эксперт на основании изучения «имплантата» сделал вывод, что он был внедрен еще на производстве, скорее всего фабрике, где и собираются сервера компании.

Также неизвестно, связалась ли телекоммуникационная компания, которая наняла Эпплбаума, с ФБР. К сожалению, эксперты так и не смогли разобраться до конца в том, какие же данные передает или обрабатывает инфицированное аппаратное обеспечение. По запросу журналистов Bloomberg свои комментарии дали представители AT&T и Verizon. Понять, какая это была компания, сложно. Аналогичный ответ дала и компания Sprint, там заявили, что оборудования от Supermicro не закупается. Оба комментария отрицательны — компании утверждают, что никаких проверок они не устраивали.

О методах агентства неоднократно рассказывалось как на Хабре, так и на других ресурсах. Кстати, метод внедрения шпионского имплантата похож на тот, что использовался АНБ. Эпплбаум даже назвал модуль «старым знакомым», поскольку такая система внедрения модулей встречается в оборудовании, поступающем из Китая достаточно часто.

Стоит отметить, что заметить модификации в «железе» очень сложно, чем и пользуются разведывательные управления многих стран. Эпплбаум заявил, что он интересовался у коллег, сталкивались ли те с аналогичными модулями, и они подтвердили наличие проблемы, заявив, что она является достаточно распространенной. У США есть секретная программа по развитию подобных систем, о чем уже рассказывал Сноуден, так почему бы и разведуправлениям других стран не разрабатывать разного рода шпионские устройства? Фактически, в индустрию аппаратных бэкдоров вкладываются миллиарды долларов.

Китай — одна из стран, которые активно занимаются развитием собственных сил кибербезопасности и «кибернападения», если так можно выразиться.

Один из способов — анализ низкоуровневого трафика. Три специалиста по информационной безопасности рассказали о том, что они проверили работу Эпплбаума и определили то, как ПО компании Sepio смогло локализовать аппаратный бэкдор. Если потребление больше, пускай и на малую толику, чем должно быть, то это уже повод задуматься. Это означает изучение не только передачи цифровых данных, но и обнаружение аналоговых сигналов — к примеру, потребление энергии устройствами.

Сервер передавал данные определенным образом, а чип делал это немного иначе. Метод Sepio позволил определить, что к сети подключено не одно устройство, сервер, а два. Входящий трафик приходил с доверенного источника, что позволило обходить фильтры системы защиты.

«Шпионский» коннектор имел металлические края, а не пластиковые. Визуально местонахождение чипа удалось определить (потом, после того, как о его существовании стало известно) путем изучения Ethernet-портов. По словам Эпплбаума, модуль не вызывает никаких подозрений, если точно не знать, что он собой представляет, заподозрить что-либо не выйдет. Металл понадобился для того, чтобы рассеивать тепловую энергию, генерируемую чипом внутри, который действовал, как самостоятельная вычислительная единица.

С развитием технологий миниатюризация шпионских модулей настолько улучшилась, что сейчас практически в любое оборудование можно добавить «шпиона», которого просто невозможно обнаружить обычными методами, нужно специальное ПО, знания и опыт в этой сфере. О том, что аппаратные бэкдоры «более чем реальны» говорят многие специалисты по кибербезопасности. Чаще всего модулями заменяют компоненты, которые имеют собственное питание, которого вполне достаточно «шпиону» для работы.

Но чаще всего системы такого типа используются для получения информации о правительственных секретах разных государств. Стоит отметить, что сами по себе аппаратные бэкдоры не являются новинкой, многие компании, как крупные, так и мелкие, борются с этой проблемой, далеко не всегда рассказывая о происходящим. Пользовательские данные в этом плане — дело десятое.

И только малая толика этих средств расходуется на угрозу, о которой говорилось выше. Кстати, в год на борьбу с киберугрозами у бизнеса глобально уходит около $100 млрд.

Теги
Показать больше

Похожие статьи

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть