В 2018 году издание Bloomberg опубликовало серию статей, рассказывающую об аппаратных «закладках», которые якобы были обнаружены на серверных платах Supermicro и позволяли китайским хакерам скомпрометировать их.
Так как это оборудование используют крупные технические компании, включая Apple и Amazon, разразился грандиозный скандал. Представители Amazon и Apple поспешили категорически опровергнуть заявления Bloomberg, глава Apple говорил, что Bloomberg нужно отозвать этот материал, и даже АНБ сообщало, что это была «ложная тревога». В итоге вся эта история затихла, но удостоилась сразу двух наград Pwnie: как «самый перехайпленный баг» и «самый крупный epic fail».
Теперь, спустя три года, журналисты Bloomberg подготовили новый объемный доклад на все ту же тему. На этот раз издание ссылается на данные 50 разных источников в правительстве и частном секторе (в основном неназванных) и заявляет, что продукция Supermicro более 10 лет используется спецслужбами Китая. Причем спецслужбам США якобы прекрасно известно об этом, однако информация замалчивается ради изучения атак и создания эффективных средств защиты.
В новой статье упоминаются три конкретных инцидента:
- в 2010 году Министерство обороны США обнаружило, что тысячи его компьютеров отправляли данные в Китай (виной этому был скрытый код, найденный в чипах, который отвечают за процесс запуска сервера);
- в 2014 году компания Intel заметила, что китайская хак-группа проникла в ее сеть через сервер, который загрузил малварь с сайта обновлений неустановленного вендора;
- в 2015 году ФБР предупреждало ряд неназванных компаний, о том, что китайские шпионы внедрили дополнительный чип с бэкдором на серверы некоего производителя.
То есть Bloomberg снова пишет о том, что продукция Supermicro (в частности материнские платы для серверов) содержит скрытые «закладки». В статье упоминаются злонамеренные изменения на уровне BIOS, необходимые для загрузки и выполнения шпионского кода, скрытого в прошивке. Якобы данный код нужен, в том числе, для атак на других вендоров.
Также в статье утверждается, что еще в 2012 году ФБР начало контрразведывательную операцию, в ходе которой были получены ордера на наблюдение за группой сотрудников Supermicro. Журналисты не знают, продолжается ли это расследование до сих пор, но утверждают, что ФБР сотрудничало с частным секторов, чтобы изучить «шпионские микросхемы», скрытые на материнских платах.
В ответ на очередную порцию обвинений в свой адрес представители Supermicro опубликовали длинное заявление, в котором вновь все отрицают:
«Статья Bloomberg — это смесь из разрозненных и неточных утверждений, появившихся много лет назад. В ней приведены надуманные выводы, которые вновь не выдерживают никакой критики.
Фактически, в прошлом месяце Агентство национальной безопасности США снова сообщило Bloomberg, что оно придерживается своих комментариев, данных в 2018 году и “не может подтвердить, что этот инцидент или последующие описанные меры реагирования когда-либо имели место”.
Невзирая на утверждения Bloomberg о предполагаемых расследованиях, связанных с кибер- или национальной безопасностью, которые якобы проводятся уже более 10 лет, ни правительство США, ни наши партнеры или клиенты ни разу не связывались с Supermicro по поводу этих предполагаемых расследований».
Как и три года назад, на этот раз никто не представил каких-либо фактических доказательств существования «шпионских чипов», зато Bloomberg опять критикуют ИБ-специалисты, включая, например, Тэвиса Орманди из Google Project Zero.
Barely a week since the "Russians can invert hash functions with quantum computers", and Bloomberg are at it again. The one source they dismissed is the one they probably should have listened to, "[Bloomberg has assembled] a mishmash of disparate and inaccurate allegations". https://t.co/0rCIiFFGnx
— Tavis Ormandy (@taviso) February 12, 2021
В новом отчете Bloomberg фигурирует мало названных источников, но один из них – это Мукул Кумар (Mukul Kumar), глава безопасности компании Altera. Он уверяет, что узнал о шпионских чипах во время несекретного брифинга. «Это был шпионаж на самой плате. На плате была микросхема, которой не должно было там быть, и она “звонила домой”, не в Supermicro, а в Китай», — цитирует Bloomberg.
По следам новой статьи Bloomberg журналисты издания The Register провели собственное небольшое расследование: они поговорил с бывшим руководителем крупной полупроводниковой компании, который попросил не называть его имени. К удивлению журналистов, тот счел чип, упомянутый в отчете Bloomberg, имеющим право на жизнь, а сам отчет достоверным.
«Я держал в руках физические улики и встречал [подобные разработки] нескольких правительств», — заявил источник. По его словам, в подобных операциях преуспели Китай, Израиль и Великобритания, а также такими разработками занимаются Франция, Германия и Россия.
Также неназванный спикер The Register говорит, что атаки, подобные описанным Bloomberg, действительно случаются, но как правило, они направлены на получение доступа к критически важным системам, и речь в таких случаях идет о национальной безопасности. По его словам, софтверные атаки реализовать куда проще, но их также легче обнаружить. Зато сложность современного аппаратного обеспечения серьезно затрудняет поиск таких «закладок».