Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Kolejny chiński backdoor w sprzęcie produkowanym przez Supermicro

ghost666 14 Paź 2018 01:27 1680 8
  • Kolejny chiński backdoor w sprzęcie produkowanym przez Supermicro
    Niedawno donosiliśmy na forum o szokującym odkryciu sprzętowych backdoorów w sprzęcie produkowanym przez amerykańską firmę Supermicro w chińskich fabrykach. Teraz okazało się, iż układy tego rodzaju mogą być obecne w szeregu innych sprzętów, jakie produkowane są w Chinach.

    Jedna z większych film telekomunikacyjnych w USA w sierpniu tego roku poinformowała, że odkryła w sprzęcie Super Micro Computer sprzętowe manipulacje, służące najpewniej jako backdoory. Serwery te zostały niezwłocznie usunięte z sieci firmy. To świeże dowody na to, iż Chińczycy manipulują w sprzęcie elektronicznym, który potem trafia do krytycznych części sieci telekomunikacyjnej w USA.

    Ekspert ds. Bezpieczeństwa, Yossi Appleboum, dostarczył Bloombergowi dokumenty, analizy i inne dowody potwierdzające to odkrycie, po opublikowaniu raportu z dochodzenia w Bloomberg Businessweek, który prezentowaliśmy na forum.

    Appleboum pracował wcześniej w jednostce technologicznej izraelskiego wywiadu wojskowego, a obecnie jest również dyrektorem generalnym Sepio Systems w Gaithersburgu w stanie Maryland w USA. Jego firma specjalizuje się w zabezpieczeniach sprzętowych i została zatrudniona m.in. do skanowania kilku dużych centrów danych należących do rzeczonej firmy telekomunikacyjnej. Bloomberg nie podaje nazwy firmy ze względu na umowę o nieujawnianiu nazwy, jaką podpisał Appleboum ze swoim klientem.

    Początkiem dochodzenia był niezwykły ruch sieciowy pomiędzy serwerem Supermicro a nieustalonym punktem w sieci. Następująca po tym odkryciu fizyczna inspekcja maszyny ujawniły implant wbudowany w złącze Ethernet serwera, mówi Appleboum.

    Dyrektor Gaithersburg powiedział, że widział już podobne manipulacje sprzętem komputerowym różnych dostawców wykonanych przez wykonawców w Chinach, a nie tylko produkty z Supermicro. "Supermicro jest ofiarą - podobnie jak wszyscy inni" - powiedział Appleboum. Wyraża on zaniepokojenie, że w Chinach istnieje niezliczona liczba punktów, w których można wprowadzać manipulacje, a ich dedukowanie w wielu przypadkach może okazać się niemożliwe. "To jest problem z chińskim łańcuchem dostaw" - dodaje Appleboum.

    Supermicro ma swoją siedzibę w San Jose w Kalifornii. Firma wydała oświadczenie w związku ze sprawą: "Bezpieczeństwo naszych klientów i integralność naszych produktów są kluczowe dla naszej działalności i wartości naszej firmy. Dbamy o bezpieczeństwo naszych produktów w całym procesie produkcyjnym, a bezpieczeństwo łańcucha dostaw jest ważnym tematem dyskusji dla naszej branży. Nadal nie mamy potwierdzonych informacji o żadnych nieautoryzowanych komponentach i nie otrzymaliśmy od żadnego z naszych klientów informacji, że takie elementy zostały w nich odnalezione. Jesteśmy przerażeni, że Bloomberg udzielił nam jedynie ograniczonych informacji, dokumentacji i zaledwie pół dnia, aby odpowiedzieć na te nowe zarzuty".

    Bloomberg News kontaktowało się z Supermicro po raz pierwszy w poniedziałek po 9 czasu wschodniego. Firma miała zaledwie 24 godziny na odpowiedź.

    Supermicro po wcześniejszych doniesieniach informowało, że "zdecydowanie zaprzecza" raportom, które mówią, iż serwery sprzedawane jego klientom zawierały złośliwe mikroprocesory. Chińska ambasada w Waszyngtonie nie zwróciła się z komentarzem do Bloomberga. W odpowiedzi na wcześniejsze dochodzenie Bloomberg Businessweek, chińskie Ministerstwo Spraw Zagranicznych nie zajęło się bezpośrednio kwestiami manipulacji serwerami Supermicro, ale powiedziało, iż bezpieczeństwo łańcucha dostaw jest "kwestią także ich zmartwienia, a Chiny również są ofiarami".

    Akcje Supermicro spadły w zeszły czwartek o 41%, najwięcej od czasu, gdy w 2007 roku firma stała się spółką publiczną. kolejnego dnia akcje spadły aż o 27% po najnowszej odsłonie tej historii.

    Wspominana powyżej manipulacja w serwerach amerykańskiej firmy telekomunikacyjnej różni się od opisanej w zeszłym tygodniu w raporcie Bloomberg Businessweek, ale ma podobne kluczowe cechy: oba backdoory mają na celu zapewnić atakującemu system niewidoczny dostęp do danych w sieci komputerowej, w której zainstalowany jest serwer. Stwierdzono, że zmiany zostały wprowadzone w fabryce, ponieważ płyta główna była produkowana przez podwykonawcę Supermicro w Chinach.

    Na podstawie kontroli urządzenia Appleboum ustalił, że serwer firmy telekomunikacyjnej został zmodyfikowany w fabryce, w której został wyprodukowany. Powiedział on, że kontakty jednego z zachodnich wywiadów potwierdziło informacje, dodając, że urządzenie zostało wykonane w fabryce jednego z podwykonawców Supermicro w Guangzhou - mieście portowym w południowo-wschodnich Chinach. Guangzhou znajduje się ok. 135 km od Shenzhen zwanego "Chińską Krzemową Doliną". Miejsce to jest siedzibą gigantów, takich jak Tencent Holdings czy Huawei Technologies.

    Zmodyfikowany sprzęt znaleziono w obiekcie, w którym znajdowała się duża liczba serwerów Supermicro, a technicy firmy telekomunikacyjnej nie byli w stanie odpowiedzieć na pytanie, jakie dane przepływały przez urządzenie z backdoorem, jak powiedział Appleboum. Towarzyszył on technikom firmy podczas kontroli wizualnej maszyny. Nie jest jasne, czy firma telekomunikacyjna skontaktowała się z FBI w sprawie odkrycia. Rzeczniczka FBI odmówiła komentarza, czy biuro jest świadome tego odkrycia.

    Nie wiadomo, która z firm telekomunikacyjnych USA została dotknięta. Rzecznik prasowy AT&T, Fletcher Cook, powiedział: "Te urządzenia nie są częścią naszej sieci i nie mamy na nie wpływu." Rzecznik Verizon Communications podał w komunikacie, że "nie mamy na nie wpływu". "Sprint nie posiada sprzętu Supermicro w swojej sieci" - powiedziała Lisa Belot, rzeczniczka prasowy Sprint. Firma T-Mobile U.S. nie odpowiedziała na prośby o komentarz.

    Zarząd Sepio Systems składa się z przewodniczącego Tamira Pardo - byłego dyrektora izraelskiego Mossadu i jego rada doradczej. Obejmuje ona m.in. Roberta Bigmana, byłego szefa ds. Bezpieczeństwa Informacji amerykańskiej Centralnej Agencji Wywiadowczej (CIA).

    Sieci łączności w USA są ważnym celem zagranicznych dla agencji wywiadowczych, ponieważ dane z milionów telefonów komórkowych, komputerów i innych urządzeń przechodzą przez te systemy. Sprzętowe backdoory są kluczowymi narzędziami do tworzenia ukrytych punktów dostępu dla obcych wywiadów w tych sieciach czy też przeprowadzania rozpoznania i polowania na korporacyjną własność intelektualną lub tajemnice rządowe.

    Podsłuchiwanie złącza Ethernet okazało się podobne do metody zastosowanej wcześniej przez amerykańską National Security Agency (NSA), szczegóły tego ataku wyciekły w 2013 roku. W e-mailach Appleboum i jego zespół odnoszą się do odkrytej manipulacji nazywając ją "starym znajomym", ponieważ wcześniej widzieli kilka zmian tego rodzaju w sprzęcie produkowanym przez inne firmy w Chinach.

    W raporcie Bloomberga Businessweeka jeden z urzędników stwierdził, że chińska infiltracja poprzez serwery przez Supermicro dotarła do prawie 30 firm, w tym do gigantów, takich jak Amazon czy Apple. Zarówno Amazon, jak i Apple zakwestionowały te ustalenia, a Departament Bezpieczeństwa Wewnętrznego USA oświadczył, że "nie ma powodu wątpić w zaprzeczanie tych firm".

    Osoby znające detale federalnego dochodzenia w sprawie ataków w latach 2014-2015 twierdzą, że prowadzone są one przez zespoły do spraw cyberprzestępczości i komórki kontrwywiadowcze FBI. Komórki kontrwywiadowcze należą do najściślej związanych z FBI i niewielu urzędników czy agencji spoza tych jednostek jest poinformowanych w ogóle o prowadzeniu tych dochodzeń.

    Appleboum powiedział, że konsultował się także z agencjami wywiadowczymi poza Stanami Zjednoczonymi, które powiedziały mu, że od jakiegoś czasu śledzą one manipulację sprzętem Supermicro i sprzęt innych firm.

    W odpowiedzi na historię opisaną przez Bloomberg Businessweek, Norweski Urząd Bezpieczeństwa Narodowego powiedział, że od czerwca tego roku "był świadomy problemu". Trond Ovstedal, rzecznik agencji, dodał później do tego oświadczenia, że agencja została ostrzeżona o tych obawach przez kogoś, kto słyszał o nich poprzez kampanie informacyjne Bloomberga. W swoim pierwszym oświadczeniu organ nie mógł potwierdzić szczegółów dotyczących sprawozdawczości Bloomberg, ale powiedział, że ostatnio prowadził dialog z swoimi partnerami w tej sprawie.

    Backdoor sprzętowy jest niezwykle trudny do wykrycia, dlatego agencje wywiadowcze inwestują miliardy dolarów w tego rodzaju sabotaż. Wiadomo, że Stany Zjednoczone mają rozbudowane programy do modyfikacji technologii trafiających di innych krajów. Jak wiadomo z danych, ujawnionych przez Edwarda Snowdena, CIA wykorzystuje liczne sprzętowe backdoory do pozyskiwania. Jednak wiele wskazuje, że obecnie Chiny także agresywnie wdrażają własną wersję tego rodzaju sprzętu, a przy tym wykorzystują przewagę kraju - monopol na globalną produkcję tego rodzaju urządzeń.

    Trzech ekspertów ds. Bezpieczeństwa, którzy przeanalizowali backdoory w Departamencie Obrony Stanów Zjednoczonych, potwierdziło, że sposób, w jaki oprogramowanie Sepio wykryło modyfikację, jest poprawny. Jednym z niewielu sposobów identyfikacji podejrzanego sprzętu jest obserwacja najniższych poziomów ruchu sieciowego. Obejmują one nie tylko normalne transmisje sieciowe, ale także sygnały analogowe - takie jak pakiety dotyczące np. zużycia energii - które mogą wskazywać na obecność ukrytego elementu sprzętowego.

    W przypadku firmy telekomunikacyjnej technologia Sepio wykryła, że ​​zmodyfikowany serwer Supermicro faktycznie pojawił się w sieci jako dwa urządzenia w jednym. Prawdziwy serwer komunikował się w jedną stronę, a backdoor w inną. Mimo to cały ruch wydawał się pochodzić z tego samego zaufanego serwera, co pozwoliło mu przejść przez filtry bezpieczeństwa.

    Appleboum powiedział, że kluczową cechą rozpoznawczą backdoora jest to, że zmanipulowane złącze Ethernet ma metalowe boki zamiast zwykłych plastikowych. Metal jest niezbędny do rozproszenia ciepła z ukrytego w nim chipa, który działa jak minikomputer. "Moduł wygląda naprawdę niewinnie, jest wysokiej jakości i wygląda na oryginalny, ale został dodany jako część ataku na łańcuch dostaw" - powiedział analityk bezpieczeństwa.

    Celem stosowania implantów sprzętowych jest ustanowienie ukrytego miejsca we wrażliwych sieciach i to właśnie Appleboum i jego zespół wykryli w tym przypadku. Zdecydowali, że stanowi to poważne naruszenie bezpieczeństwa, szczególnie w połączeniu z wieloma innymi niebezpiecznymi systemami wykrytymi również w tej samej sieci. Analityk ostrzegł zespół bezpieczeństwa klienta w sierpniu. Firma następnie usunęła serwery i wysłała je do analizy. Po zidentyfikowaniu modyfikacji i usunięciu serwera z sieci zespół Sepio nie był w stanie przeprowadzić dalszej analizy chipu.

    Zagrożenie ze strony sprzętowych backdoorów "jest bardzo realne", mówi Sean Kanuck, który do 2016 roku był czołowym cyber-urzędnikiem w biurze dyrektora wywiadu USA. Obecnie jest dyrektorem ds. przyszłościowych konfliktów i bezpieczeństwa cybernetycznego Międzynarodowego Instytutu Studiów Strategicznych w Waszyngtonie. Sprzętowe backdoory mogą zapewnić atakującym siłę ataku, przed którą nie jest w stanie zabezpieczyć żadne oprogramowanie.

    "Producenci, którzy nie dostrzegają tego problemu, ignorują potencjalnie poważny problem" - powiedział Kanuck - "Zdolni cyberprzestępcy, jak chińskie służby wywiadowcze i służby bezpieczeństwa, mogą w ten sposób uzyskać dostęp do całego łańcucha dostaw IT w wielu punktach i tworzyć zaawansowane i trwałe wektory ataku".

    Jednym z kluczowych elementów udanego ataku sprzętowego jest zmiana komponentów, które mają dostatecznie dobry dostęp do zasilania, co zniechęca do wykorzystywania elementów głębiej zintegrowanych płycie głównej. Właśnie dlatego urządzenia peryferyjne, takie jak klawiatury i myszy, są także nieustającymi ulubionymi celami dla agencji wywiadowczych, jak twierdzi Appleboum.

    W następstwie doniesień Bloomberga o ataku na produkty Supermicro, eksperci od bezpieczeństwa twierdzą, że firmy na całym świecie, od dużych banków i dostawców usług w chmurze, do małych laboratoriów badawczych i startupów, analizują swoje serwery i inne urządzenia pod kątem modyfikacji, co stanowi zupełnie normalną praktykę. Ich odkrycia niekoniecznie zostaną podane do publicznej wiadomości, ponieważ manipulacje sprzętem są zazwyczaj tak skonstruowane, aby zapewnić dostęp do tajemnic państwowych i korporacyjnych, a nie do danych konsumenckich.

    Eksperci od bezpieczeństwa narodowego twierdzą, że kluczowym problemem jest to, że w branży cyberbezpieczeństwa wartej ok. 100 miliardów dolarów rocznie, bardzo niewiele z tego wydano na kontrolę sprzętu pod kątem manipulacji. Pozwoliło to agencjom wywiadowczym na całym świecie działać stosunkowo bez przeszkód, a Chiny miały tutaj kluczową przewagę.

    "W przypadku Chin te wysiłki są wszechogarniające" - mówi Tony Lawrence, CEO VOR Technology, firmy wywiadowczej - "Nie jesteśmy w stanie określić wagi ani rozmiaru tych exploitów - nie wiemy, dopóki nie znajdziemy niektórych. Mogą być wszędzie - może to być wszystko, co wychodzi z Chin. Nieznane jest to, co się dostaje i właśnie w takim punkcie obecnie jesteśmy. Nie znamy poziomu exploitów obecnych w naszych systemach".

    Źródło: https://www.bloomberg.com/news/articles/2018-10-09/new-evidence-of-hacked-supermicro-hardware-found-in-u-s-telecom

  • CControls
  • #2 14 Paź 2018 11:08
    leonow32

    Poziom 30  

    Dużo gadania, a mało konkretów. "Początkiem dochodzenia był niezwykły ruch sieciowy pomiędzy serwerem Supermicro a nieustalonym punktem w sieci" - co to ma znaczyć? Jeżeli rzeczywiście ktoś domontował szpiegujący układ scalony to co za problem go otworzyć i zobaczyć jego strukturę? Są specjaliści, którzy ze zdjęcia scalaka potrafią odtworzyć schemat, więc byłoby wiadomo co dokładniej ten scalak robi.

    Cała ta akcja ze sprzętowymi backdoorami wygląda jak jakiś czarny PR, żeby tylko ludzi przestraszyć i zrujnować producenta serwerów. Już tylko czekam, aż w Media Markcie będą komputery z napisem "wolne od backdoorów"

  • #3 14 Paź 2018 11:30
    ghost666
    Tłumacz Redaktor

    leonow32 napisał:
    Dużo gadania, a mało konkretów. "Początkiem dochodzenia był niezwykły ruch sieciowy pomiędzy serwerem Supermicro a nieustalonym punktem w sieci" - co to ma znaczyć? Jeżeli rzeczywiście ktoś domontował szpiegujący układ scalony to co za problem go otworzyć i zobaczyć jego strukturę? Są specjaliści, którzy ze zdjęcia scalaka potrafią odtworzyć schemat, więc byłoby wiadomo co dokładniej ten scalak robi.


    I co Ci po schemacie scalaka? Pewnie się sam kasuje na najmniejsze dotknięcie jego. Co Ci po IP punktu kontaktowego backdoora? Nic. To dużo bardziej skomplikowana sprawa.

    leonow32 napisał:
    Cała ta akcja ze sprzętowymi backdoorami wygląda jak jakiś czarny PR, żeby tylko ludzi przestraszyć i zrujnować producenta serwerów. Już tylko czekam, aż w Media Markcie będą komputery z napisem "wolne od backdoorów"


    O backdoorach mówi się od lat już, było wiele dziur w telefonach z Androidem, produkowanych w ChRL, a ta akcja... serio kupujesz serwery za 100kPLN w Media Markecie?

  • CControls
  • #4 14 Paź 2018 19:01
    leonow32

    Poziom 30  

    Mi to do szczęścia nie jest potrzebne, ale trochę by uwiarygodniło całą tę historię. Dobry przykład jest opisany tutaj https://zeptobars.com/en/read/FTDI-FT232RL-real-vs-fake-supereal gdzie ktoś porównuje prawdziwy i podrobiony FT232RL. Tutaj są pokazane konkrety i opisuje w jaki sposób ten scalak został podrobiony. Natomiast na temat tego backdoora w Supermicro nie wiadomo zupełnie nic. Mamy jedynie zdjęcie jakiegoś elementu, który wcale nie wygląda jak układ scalony tylko jakaś drabinka kondensatorów lub układ RF np. taki https://www.mouser.com/catalog/specsheets/johanson_07052018_4400BL15A0050.pdf..

  • #5 14 Paź 2018 19:10
    jack63
    Poziom 42  

    ghost666 napisał:
    kluczowym problemem jest to, że w branży cyberbezpieczeństwa wartej ok. 100 miliardów dolarów rocznie, bardzo niewiele z tego wydano na kontrolę sprzętu pod kątem manipulacji.

    W zasadzie zamiast tego sążnistego artykułu wystarczyło by to jedno zdanie...
    Ponoć "chytrość jest dobra". Producent z chytrości dał do zrobienia coś, co w zasadzie można określić jako broń w wojnie cybernetycznej, swojemu wrogowi...
    Typowe myślenie ludzi w "granatowych garniturach i białych kołnierzykach.
    Amerykanie zostają potraktowani tak jak traktują innych.

  • #6 15 Paź 2018 12:22
    Sofeicz
    Poziom 16  

    No właśnie.
    A co się stanie, kiedy chiński backdoor zderzy się na jednej płycie z jankeskim, ruskim i izraelskim?

  • #7 16 Paź 2018 07:19
    chudybyk
    Poziom 27  

    ghost666 napisał:
    kluczową cechą rozpoznawczą backdoora jest to, że zmanipulowane złącze Ethernet ma metalowe boki zamiast zwykłych plastikowych. Metal jest niezbędny do rozproszenia ciepła z ukrytego w nim chipa, który działa jak minikomputer.

    To chyba sedno. Spryciule ukryli chipa w obudowie załącza RJ-45.
    A reszta tekstu nudna jak flaki z olejem. Flagowy przykład jak dużo napisać o niczym.

  • #8 16 Paź 2018 08:01
    leonow32

    Poziom 30  

    chudybyk napisał:
    ghost666 napisał:
    kluczową cechą rozpoznawczą backdoora jest to, że zmanipulowane złącze Ethernet ma metalowe boki zamiast zwykłych plastikowych. Metal jest niezbędny do rozproszenia ciepła z ukrytego w nim chipa, który działa jak minikomputer.

    To chyba sedno. Spryciule ukryli chipa w obudowie załącza RJ-45.
    A reszta tekstu nudna jak flaki z olejem. Flagowy przykład jak dużo napisać o niczym.

    O nie! To znaczy, że wszystkie Raspberry Pi też mają backdoora! Na szczęście z laptopie nie mam złącza RJ-45, więc mogę spać spokojnie.

    Kolejny chiński backdoor w sprzęcie produkowanym przez Supermicro

  • #9 16 Paź 2018 12:30
    dr_z
    Poziom 16  

    Też mi nowość... Nie raz i nie dwa razy widziałem na schemacie laptopa Compal czy Quanta (oczywiście ukradziony schemat z znakami wodnymi CONFIDENTIAL itp...) pusty kwadracik pomiędzy LAN a SouthBridge z opisem "sniffer" ;)