Найдены новые хардверные «закладки» в китайском оборудовании, но вся история по-прежнему под сомнением

Инженеры крупной телекоммуникационной компании из США обнаружили, что в их сети работает железо производства компании Supermicro, содержащее аппаратную закладку. Статью об этом опубликовало издание Bloomberg в продолжение (и в подтверждение) истории, о которой «Хакер» писал несколько дней назад. Речь идет о китайских шпионских чипах, которые якобы встраивают в серверы Super Micro Computer прямо на заводе.

История подтверждается документами, аналитикой и другими уликами — их предоставил эксперт по безопасности Йосси Эпплбоум, после того как прочитал расследование Bloomberg о закладках китайской разведки на материнских платах серверов Supermicro.

Эпплбоум в прошлом работал в техническом подразделении Изральской военной разведки, а сейчас занимает пост исполнительного директора Sepio Systems. Его компания занимается хардверной безопасностью, и именно ее наняла некая крупная телекоммуникационная фирма для подробной проверки своих дата-центров (название фирмы-клиента защищено договором о неразглашении).

В ходе проверки сервер Supermicro стал выдавать подозрительный трафик, и после физического осмотра на нем нашли имплант, встроенный в коннектор Ethernet.

Главный признак наличия импланта — металлические боковые поверхности коннектора Ethernet, установленные вместо обычных пластиковых. Дело в том, что скрытый в них чип нуждается в охлаждении во время работы, и металл лучше рассеивает тепло.

Модифицированный сервер отображается в сети как два устройства в одном, но весь трафик идет будто только от лица доверенного сервера, поэтому неавторизованный трафик может успешно проходить все фильтры. Также индикатором наличия подозрительной закладки могут служить аналоговые сигналы и аномалии потребления энергии.

Эпплбоум настаивает, что Supermicro — просто одна из пострадавших сторон в этой истории. Он видел следы таких манипуляций и в компьютерах других компаний, которые пользуются услугами китайских фабрик. По его словам, цепочка поставок из Китая предоставляет множество шансов произвести манипуляции с оборудованием, и не всегда есть шанс вычислить, когда именно это произошло. В этом случае эксперт определил, что чип подсоединили прямо на фабрике в Гуанчжоу, где был произведен сервер.

Представители Supermicro заявили, что им по-прежнему ничего не известно о наличии неоригинальных компонентов в их продукции, в том числе их клиенты не сообщали о подобных находках. В заявлении также говорится, что для компании нет ничего важнее безопасности клиентов, и в компании заботятся о целостности и своей продукции на протяжении всей цепи поставок.

Неизвестно, сообщила ли телекоммуникационная компания в ФБР о найденном чипе, а представитель ФБР отказался от комментариев.

Пытаясь выяснить, о какой компании идет речь, из редакции Bloomberg отправили запросы самым крупным операторам связи в США. Представители AT&T и Verizon ответили, что их не затронула эта проблема, из Sprint ответили, что не пользуются серверами Supermicro, а в T-Mobile от комментариев отказалась.

Представители Amazon и Apple по-прежнему отрицают, что их серверы были скомпрометированы. Ответные заявления изобилуют деталями, где пункт за пунктом разбирается статья Bloomberg. Сотрудники министерства внутренней безопаспости США в своем заявлении также отмечают, что у них нет причин сомневаться в словах Apple и Amazon.

Еще в сети появилось интервью с экспертом по хардверной безопасности Джо Фитцпатриком, который консультировал Bloomberg в указанном расследовании. Он был одним из немногих названных источников. Фитцпатрик нашел в статье свои слова (в которых он не слишком уверен, поскольку многие вещи просто предполагал), которые по словам Bloomberg, подтвердили семнадцать неназванных источников. В конце концов, эксперт начал сомневаться в существовании всех этих источников.

Комментарии (13)

  • Бред сивой кобылы,я просто ору ,ушки служат для фиксации коннектора, спецификацию читайте.В коннекторе конечно дохрена места,но где пруфы,где разобранный коннектор,где чип ? Лютый трэш

  • уж кто бы плакал только не пиндостан, я не говорю про закладки в компах - не чурались даже в гофрокарон радиоактивные капсулы закладывать для отслеживание мест доставки компов в РФ

  • Что-то верится с трудом....
    В прошлом материале (тоже был наезд на Супермикру) маааааленькому чипу (размером менее зернышка) присваивали очень огромные возможности (вопрос о том, как ентот чип могли внедрить на видное месте платы - это очень отдельный вопрос). Как это жучара "с тремя выводами" мог обрабатывать гору информации даже не представляется: нужон либо шустрый процессор (для реалтайма), либо овердофига памяти (для сбора с последующей нереалтаймовой обработкой) - и то, и другое по отдельности упихать в имеющиеся размеры "зернышка" весьма трудно (при текущем уровне развития электронной техники).
    Теперь новый материал с аналогичным заголовком "Супермикра встроила жучег в коннектор!!!" Ну да, там есть место для большего жучка, нежели в прошлой статье (учли критику, что мощный жучег требует больше жизненного пространства...). А в качестве доказательства они фото нераспаянного коннектора предоставили?))))))

  • Абсолютное назначение противоестественной микрочастицы реализуется при рекомендованной и абсолютно назначенной функции, в которой даже все смыслы назначенных значений достоверного смысла и компактного аналога не реализуют. При обращении к противоестественному образцу, немасштабируемая функция реализации выполняется в двойном понимании и смысле. Алогичное восприятие не рекомендует излишней тревоги.

  • Противоречивое мнение рекомендует себя при обусловленном и, в том числе и критическом эквиваленте подсознания. Немасштабируемая акция заключается в приоритетной ликвидации подсистемы вцелом. Рекомендуемая реструктуризация обмену и возврату не подлежит.

  • Ну есть у тебя чип в RG45, ну дальше что, типа есть вероятность подключиться удаленно к чипу снифить определенный трафик, ну либо отправлять что-то в сеть? Трафик шифрованный часто, а сервера из внутренней сети не имеют доступа во вне. В RG45 только трансформатор, чип стоит отдельно на материке, и например может выполнить что-то на проце, снизив защиту. А в RG45 только сниф, отправка в сеть, в том числе на сервер.

    Дичью попахивает. Больше похоже на то что, американские компании хотят китайские прижать, чтобы знали свое место. А то последнее время эппл и амазон их используют, где дешевле, там и покупают, и не покупают dell и hp.
    А эплы и амазон в скорее всего не признаются, и даже если был взлом, зачем. Только 1 чел признается - цукурберг, что его взломали, это же куча проблем и шума.

  • Говорилось про аномалии в питании, как мне кажется там дело одним разьемом не обошлось и что то мне подсказывает, что Supermicro не такие уж и жертвы, учитывая пред идущие дыры в их системах.

  • "безопаспости" - опечатку поправьте, пжл.

  • "Дело в том, что скрытый в них чип нуждается в охлаждении во время работы, и металл лучше рассеивает тепло." - Афигеть. А где этот чип питание то берёт?? Даже если в разъёме есть трансформатор (как делают в современных сетевых устройствах), то туда приходит только "сигнал". "Питание" не приходит. Или они полезный сигнал жрут в качестве питания? Странно-странно.

      • Спасибо за идею. Погуглю.
        (Почему-то всегда думал, что PoE делается отдельным устройством, не материнской платой).

        • "на нем нашли имплант, встроенный в коннектор Ethernet"
          Тут жеж не про маму пишут

  • Не видел не одного разъема RJ-45 без металлических боковых поверхностей коннектора на более чем приличном кол-ве своих серверов, как Supermicro так и остальных )))