Инженеры крупной телекоммуникационной компании из США обнаружили, что в их сети работает железо производства компании Supermicro, содержащее аппаратную закладку. Статью об этом опубликовало издание Bloomberg в продолжение (и в подтверждение) истории, о которой «Хакер» писал несколько дней назад. Речь идет о китайских шпионских чипах, которые якобы встраивают в серверы Super Micro Computer прямо на заводе.

История подтверждается документами, аналитикой и другими уликами — их предоставил эксперт по безопасности Йосси Эпплбоум, после того как прочитал расследование Bloomberg о закладках китайской разведки на материнских платах серверов Supermicro.

Эпплбоум в прошлом работал в техническом подразделении Изральской военной разведки, а сейчас занимает пост исполнительного директора Sepio Systems. Его компания занимается хардверной безопасностью, и именно ее наняла некая крупная телекоммуникационная фирма для подробной проверки своих дата-центров (название фирмы-клиента защищено договором о неразглашении).

В ходе проверки сервер Supermicro стал выдавать подозрительный трафик, и после физического осмотра на нем нашли имплант, встроенный в коннектор Ethernet.

Главный признак наличия импланта — металлические боковые поверхности коннектора Ethernet, установленные вместо обычных пластиковых. Дело в том, что скрытый в них чип нуждается в охлаждении во время работы, и металл лучше рассеивает тепло.

Модифицированный сервер отображается в сети как два устройства в одном, но весь трафик идет будто только от лица доверенного сервера, поэтому неавторизованный трафик может успешно проходить все фильтры. Также индикатором наличия подозрительной закладки могут служить аналоговые сигналы и аномалии потребления энергии.

Эпплбоум настаивает, что Supermicro — просто одна из пострадавших сторон в этой истории. Он видел следы таких манипуляций и в компьютерах других компаний, которые пользуются услугами китайских фабрик. По его словам, цепочка поставок из Китая предоставляет множество шансов произвести манипуляции с оборудованием, и не всегда есть шанс вычислить, когда именно это произошло. В этом случае эксперт определил, что чип подсоединили прямо на фабрике в Гуанчжоу, где был произведен сервер.

Представители Supermicro заявили, что им по-прежнему ничего не известно о наличии неоригинальных компонентов в их продукции, в том числе их клиенты не сообщали о подобных находках. В заявлении также говорится, что для компании нет ничего важнее безопасности клиентов, и в компании заботятся о целостности и своей продукции на протяжении всей цепи поставок.

Неизвестно, сообщила ли телекоммуникационная компания в ФБР о найденном чипе, а представитель ФБР отказался от комментариев.

Пытаясь выяснить, о какой компании идет речь, из редакции Bloomberg отправили запросы самым крупным операторам связи в США. Представители AT&T и Verizon ответили, что их не затронула эта проблема, из Sprint ответили, что не пользуются серверами Supermicro, а в T-Mobile от комментариев отказалась.

Представители Amazon и Apple по-прежнему отрицают, что их серверы были скомпрометированы. Ответные заявления изобилуют деталями, где пункт за пунктом разбирается статья Bloomberg. Сотрудники министерства внутренней безопаспости США в своем заявлении также отмечают, что у них нет причин сомневаться в словах Apple и Amazon.

Еще в сети появилось интервью с экспертом по хардверной безопасности Джо Фитцпатриком, который консультировал Bloomberg в указанном расследовании. Он был одним из немногих названных источников. Фитцпатрик нашел в статье свои слова (в которых он не слишком уверен, поскольку многие вещи просто предполагал), которые по словам Bloomberg, подтвердили семнадцать неназванных источников. В конце концов, эксперт начал сомневаться в существовании всех этих источников.

10 комментариев

  1. Mr-r00t

    11.10.2018 at 12:04

    Не видел не одного разъема RJ-45 без металлических боковых поверхностей коннектора на более чем приличном кол-ве своих серверов, как Supermicro так и остальных )))

  2. JustMoose

    15.10.2018 at 09:15

    «Дело в том, что скрытый в них чип нуждается в охлаждении во время работы, и металл лучше рассеивает тепло.» — Афигеть. А где этот чип питание то берёт?? Даже если в разъёме есть трансформатор (как делают в современных сетевых устройствах), то туда приходит только «сигнал». «Питание» не приходит. Или они полезный сигнал жрут в качестве питания? Странно-странно.

  3. JustMoose

    15.10.2018 at 09:18

    «безопаспости» — опечатку поправьте, пжл.

  4. GrafGrigorio

    15.10.2018 at 10:13

    Говорилось про аномалии в питании, как мне кажется там дело одним разьемом не обошлось и что то мне подсказывает, что Supermicro не такие уж и жертвы, учитывая пред идущие дыры в их системах.

  5. Anon

    25.10.2018 at 15:07

    Ну есть у тебя чип в RG45, ну дальше что, типа есть вероятность подключиться удаленно к чипу снифить определенный трафик, ну либо отправлять что-то в сеть? Трафик шифрованный часто, а сервера из внутренней сети не имеют доступа во вне. В RG45 только трансформатор, чип стоит отдельно на материке, и например может выполнить что-то на проце, снизив защиту. А в RG45 только сниф, отправка в сеть, в том числе на сервер.

    Дичью попахивает. Больше похоже на то что, американские компании хотят китайские прижать, чтобы знали свое место. А то последнее время эппл и амазон их используют, где дешевле, там и покупают, и не покупают dell и hp.
    А эплы и амазон в скорее всего не признаются, и даже если был взлом, зачем. Только 1 чел признается — цукурберг, что его взломали, это же куча проблем и шума.

  6. rubercrow

    08.11.2018 at 16:07

    Противоречивое мнение рекомендует себя при обусловленном и, в том числе и критическом эквиваленте подсознания. Немасштабируемая акция заключается в приоритетной ликвидации подсистемы вцелом. Рекомендуемая реструктуризация обмену и возврату не подлежит.

  7. rubercrow

    08.11.2018 at 16:12

    Абсолютное назначение противоестественной микрочастицы реализуется при рекомендованной и абсолютно назначенной функции, в которой даже все смыслы назначенных значений достоверного смысла и компактного аналога не реализуют. При обращении к противоестественному образцу, немасштабируемая функция реализации выполняется в двойном понимании и смысле. Алогичное восприятие не рекомендует излишней тревоги.

Оставить мнение