Инженеры крупной телекоммуникационной компании из США обнаружили, что в их сети работает железо производства компании Supermicro, содержащее аппаратную закладку. Статью об этом опубликовало издание Bloomberg в продолжение (и в подтверждение) истории, о которой «Хакер» писал несколько дней назад. Речь идет о китайских шпионских чипах, которые якобы встраивают в серверы Super Micro Computer прямо на заводе.
История подтверждается документами, аналитикой и другими уликами — их предоставил эксперт по безопасности Йосси Эпплбоум, после того как прочитал расследование Bloomberg о закладках китайской разведки на материнских платах серверов Supermicro.
Эпплбоум в прошлом работал в техническом подразделении Изральской военной разведки, а сейчас занимает пост исполнительного директора Sepio Systems. Его компания занимается хардверной безопасностью, и именно ее наняла некая крупная телекоммуникационная фирма для подробной проверки своих дата-центров (название фирмы-клиента защищено договором о неразглашении).
В ходе проверки сервер Supermicro стал выдавать подозрительный трафик, и после физического осмотра на нем нашли имплант, встроенный в коннектор Ethernet.
Главный признак наличия импланта — металлические боковые поверхности коннектора Ethernet, установленные вместо обычных пластиковых. Дело в том, что скрытый в них чип нуждается в охлаждении во время работы, и металл лучше рассеивает тепло.
Модифицированный сервер отображается в сети как два устройства в одном, но весь трафик идет будто только от лица доверенного сервера, поэтому неавторизованный трафик может успешно проходить все фильтры. Также индикатором наличия подозрительной закладки могут служить аналоговые сигналы и аномалии потребления энергии.
Эпплбоум настаивает, что Supermicro — просто одна из пострадавших сторон в этой истории. Он видел следы таких манипуляций и в компьютерах других компаний, которые пользуются услугами китайских фабрик. По его словам, цепочка поставок из Китая предоставляет множество шансов произвести манипуляции с оборудованием, и не всегда есть шанс вычислить, когда именно это произошло. В этом случае эксперт определил, что чип подсоединили прямо на фабрике в Гуанчжоу, где был произведен сервер.
Представители Supermicro заявили, что им по-прежнему ничего не известно о наличии неоригинальных компонентов в их продукции, в том числе их клиенты не сообщали о подобных находках. В заявлении также говорится, что для компании нет ничего важнее безопасности клиентов, и в компании заботятся о целостности и своей продукции на протяжении всей цепи поставок.
Неизвестно, сообщила ли телекоммуникационная компания в ФБР о найденном чипе, а представитель ФБР отказался от комментариев.
Пытаясь выяснить, о какой компании идет речь, из редакции Bloomberg отправили запросы самым крупным операторам связи в США. Представители AT&T и Verizon ответили, что их не затронула эта проблема, из Sprint ответили, что не пользуются серверами Supermicro, а в T-Mobile от комментариев отказалась.
Представители Amazon и Apple по-прежнему отрицают, что их серверы были скомпрометированы. Ответные заявления изобилуют деталями, где пункт за пунктом разбирается статья Bloomberg. Сотрудники министерства внутренней безопаспости США в своем заявлении также отмечают, что у них нет причин сомневаться в словах Apple и Amazon.
Еще в сети появилось интервью с экспертом по хардверной безопасности Джо Фитцпатриком, который консультировал Bloomberg в указанном расследовании. Он был одним из немногих названных источников. Фитцпатрик нашел в статье свои слова (в которых он не слишком уверен, поскольку многие вещи просто предполагал), которые по словам Bloomberg, подтвердили семнадцать неназванных источников. В конце концов, эксперт начал сомневаться в существовании всех этих источников.