Где умный человек прячет листик? В лесу. Где он прячет шпионский чип? В сервере
Только вчера на Хабре была опубликована статья о том, что доказательств присутствия шпионских модулей в оборудовании компании Supermicro нет. Ну а сегодня они появились. Обнаружил их в оборудовании одной из крупнейших телекоммуникационных компаний США эксперт по сетевой безопасности Йосси Эпплбаум.
Эксперт является одним из руководителей компании Sepio Systems, которая специализируется на безопасности аппаратных решений. Относительно недавно она выполняла заказ одного из клиентов (кого именно — Эпплбаум говорить отказался, поскольку он связан условиями NDA), которая решила проверить свое оборудование на предмет наличия уязвимостей или установленных «жучков».
Специалисты Sepio Systems относительно быстро обнаружили проблемный элемент благодаря необычному сетевому трафику. Этим элементом оказался «имплантат», внедренный в Ethernet коннектор сервера. Интересно, что по словам Эпплбаума, он не впервые сталкивается со шпионскими модулями, внедренными именно в Ethernet-порт, причем они были замечены не только в оборудовании Super Micro, но и в продуктах других компаний — китайских производителей «железа».
Эксперт на основании изучения «имплантата» сделал вывод, что он был внедрен еще на производстве, скорее всего фабрике, где и собираются сервера компании. Промышленные мощности Supermicro находятся в Гуанчжоу, это немногим более сотни километров от Шеньчженя, который назван «Кремниевой долиной hardware».
К сожалению, эксперты так и не смогли разобраться до конца в том, какие же данные передает или обрабатывает инфицированное аппаратное обеспечение. Также неизвестно, связалась ли телекоммуникационная компания, которая наняла Эпплбаума, с ФБР. Понять, какая это была компания, сложно. По запросу журналистов Bloomberg свои комментарии дали представители AT&T и Verizon. Оба комментария отрицательны — компании утверждают, что никаких проверок они не устраивали. Аналогичный ответ дала и компания Sprint, там заявили, что оборудования от Supermicro не закупается.
Кстати, метод внедрения шпионского имплантата похож на тот, что использовался АНБ. О методах агентства неоднократно рассказывалось как на Хабре, так и на других ресурсах. Эпплбаум даже назвал модуль «старым знакомым», поскольку такая система внедрения модулей встречается в оборудовании, поступающем из Китая достаточно часто.
Эпплбаум заявил, что он интересовался у коллег, сталкивались ли те с аналогичными модулями, и они подтвердили наличие проблемы, заявив, что она является достаточно распространенной. Стоит отметить, что заметить модификации в «железе» очень сложно, чем и пользуются разведывательные управления многих стран. Фактически, в индустрию аппаратных бэкдоров вкладываются миллиарды долларов. У США есть секретная программа по развитию подобных систем, о чем уже рассказывал Сноуден, так почему бы и разведуправлениям других стран не разрабатывать разного рода шпионские устройства?
Китай — одна из стран, которые активно занимаются развитием собственных сил кибербезопасности и «кибернападения», если так можно выразиться.
Три специалиста по информационной безопасности рассказали о том, что они проверили работу Эпплбаума и определили то, как ПО компании Sepio смогло локализовать аппаратный бэкдор. Один из способов — анализ низкоуровневого трафика. Это означает изучение не только передачи цифровых данных, но и обнаружение аналоговых сигналов — к примеру, потребление энергии устройствами. Если потребление больше, пускай и на малую толику, чем должно быть, то это уже повод задуматься.
Метод Sepio позволил определить, что к сети подключено не одно устройство, сервер, а два. Сервер передавал данные определенным образом, а чип делал это немного иначе. Входящий трафик приходил с доверенного источника, что позволило обходить фильтры системы защиты.
Визуально местонахождение чипа удалось определить (потом, после того, как о его существовании стало известно) путем изучения Ethernet-портов. «Шпионский» коннектор имел металлические края, а не пластиковые. Металл понадобился для того, чтобы рассеивать тепловую энергию, генерируемую чипом внутри, который действовал, как самостоятельная вычислительная единица. По словам Эпплбаума, модуль не вызывает никаких подозрений, если точно не знать, что он собой представляет, заподозрить что-либо не выйдет.
О том, что аппаратные бэкдоры «более чем реальны» говорят многие специалисты по кибербезопасности. С развитием технологий миниатюризация шпионских модулей настолько улучшилась, что сейчас практически в любое оборудование можно добавить «шпиона», которого просто невозможно обнаружить обычными методами, нужно специальное ПО, знания и опыт в этой сфере. Чаще всего модулями заменяют компоненты, которые имеют собственное питание, которого вполне достаточно «шпиону» для работы.
Стоит отметить, что сами по себе аппаратные бэкдоры не являются новинкой, многие компании, как крупные, так и мелкие, борются с этой проблемой, далеко не всегда рассказывая о происходящим. Но чаще всего системы такого типа используются для получения информации о правительственных секретах разных государств. Пользовательские данные в этом плане — дело десятое.
Кстати, в год на борьбу с киберугрозами у бизнеса глобально уходит около $100 млрд. И только малая толика этих средств расходуется на угрозу, о которой говорилось выше.
Автор: Максим Агаджанов