Противоречивые сведения о выявлении шпионского чипа на платах Supermicro
4 октября 2018 года
Издание Bloomberg опубликовало данные о выявлении на платах Supermicro миниатюрного шпионского чипа, внедрённого для организации утечки госсекретов и коммерческой тайны. Сообщается, что серверное оборудование со шпионскими чипами было продано и успешно внедрено в инфраструктуре 30 компаний из США, среди которых Amazon, Apple и нескольких исполнителей госконтрактов. Bloomberg утверждает, что информация подтверждена шестью неназываемыми источниками из госслужб и 17 анонимными источниками из корпораций.
Отмечается, что чипы были внедрены на этапе производства на заводах Supermicro после оказания давления военным ведомством КНР. Чипы включали бэкдор, позволяющий после активации скомпрометировать сетевую инфраструктуру. Утверждается, что проблема была выявлена в 2015 году после изучения оборудования компании Elemental Technologies, купленной Amazon.
На серверах, изготовленных Supermicro для данной компании, в материнской плате инженерами Amazon был обнаружен миниатюрный имплант, размером с рисовое зёрнышко, который не соответствовал оригинальной схеме и был искусно замаскирован под видом разветвителя сигнала. В 2015 году аналогичные шпионские чипы также были выявлены в платах Supermicro, поставляемых для Apple, что послужило причиной разрыва отношений между Apple и Supermicro в 2016 году. Amazon и Apple информировали спецслужбы и оборонное ведомство о находке, после чего началось тайное расследование, которое заняло три года.
Расследование показало, что чип был подключен к цепям соединения BMC-контроллера с SPI Flash или EEPROM, на которых хранится прошивка. Модифицируя поступающие с Flash данные чип мог добиться выполнения своего кода на уровне BMC (устанавливаемый в серверах специализированный контроллер, имеющий свой CPU, память, хранилище и интерфейсы опроса датчиков).
Через BMC шпионский чип получал доступ к системной памяти и сетевым функциям, в том числе мог отправлять проверочные запросы на внешний хост и получать инструкции для модификации памяти. Получив контроль за BMC атакующие могли полностью контролировать оборудование, в том числе менять настройки BMC (например, отключить процедуру аутентификации и включить управление по сети), организовать работу консоли удалённого доступа, управлять прошивками и дисками, внедрить свой код в основную ОС.
Компании Amazon и Apple категорически отвергли данную информацию. Amazon сообщил, что выявленные в то время проблемы касались уязвимостей в web-приложении и были устранены. Ни о каких шпионских аппаратных имплантах и модификациях оборудования, выявленных при покупке Elemental, компания не знает и никаких совместных расследований с ФБР не проводилось.
Компания Apple рассказала, что она инициировала аудит оборудования в ответ на поступивший от Bloomberg запрос прокомментировать инцидент. Аудит не выявил никаких доказательств наличия аппаратных имплантов в имеющемся оборудовании Supermicro. Компания Apple также заявила, что никогда не выявляла вредоносные чипы, аппаратные уязвимости серверов или манипуляции с оборудованием, а также не разбирала подобный инцидент с ФБР и другими спецслужбами. Единственным инцидентом с Supermicro было выявление в 2016 году поражённого вредоносным ПО драйвера на сервере в одной из лабораторий Apple. Но это был единичный случай, который не был связан с целенаправленной атакой.
Компания Supermicro заявила (Архивная копия от 7 августа 2020 на Wayback Machine), что она не была поставлена в известность о проводимом расследовании и никто из спецслужб не связывался с ней по данному поводу. Неофициально высказываются подозрения, что источники Bloomberg целенаправленно ввели издание в заблуждение с целью организации обвала акций Supermicro. После публикации стоимость акций Supermicro снизилась более чем в два раза с $21.40 до $8.65 за акцию.
Не в пользу информации Bloomberg также свидетельствует излишнее усложнение атаки: при доступе к производству вместо отдельного и заметного чипа надёжнее было бы интегрировать бэкдор прямо в SPI Flash и поставлять на платах неотличимый от оригинала модифицированный чип.
Дополнение 1: Министерство внутренней безопасности США и Центр правительственной связи Великобритании сообщили, что у них нет оснований сомневаться в правдивости заявлений компаний Apple и Amazon, опровергающих сведения, изложенные в статье Bloomberg.
Дополнение 2: Bloomberg раскрыл источник сведений о шпионском чипе в платах Supermicro и описал принципиально иной метод внедрения чипа.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.