Nachweis der Anwesenheit von Spyware-Chips in Supermicro-Servern.


    Wo versteckt ein kluger Mann ein Blatt? Im Wald. Wo versteckt er den Spionagechip? Auf dem Server

    Gestern wurde ein Artikel über Habré veröffentlicht, der besagt, dass es keine Hinweise darauf gibt, dass Spyware in der Hardware von Supermicro vorhanden ist. Nun, heute sind sie erschienen . Ich fand sie in der Ausrüstung eines der größten Telekommunikationsunternehmen des US-amerikanischen Netzwerksicherheitsexperten Yossi Applebaum.

    Der Experte ist einer der Marktführer von Sepio Systems, das auf die Sicherheit von Hardwarelösungen spezialisiert ist. Vor relativ kurzer Zeit erfüllte sie den Auftrag eines der Kunden (wem genau gesagt - Applebaum weigerte sich zu sagen, da er an die NDA gebunden war), der beschloss, ihre Ausrüstung auf Schwachstellen zu überprüfen oder Fehler zu installieren.

    Die Spezialisten von Sepio Systems haben das Problem aufgrund des ungewöhnlichen Netzwerkverkehrs relativ schnell entdeckt. Dieses Element erwies sich als "Implantat", ein im Ethernet eingebetteter Server-Connector. Laut Applebaum war er interessanterweise nicht der erste, der auf Spyware-Module stieß, die in den Ethernet-Port eingebettet waren, und sie wurden nicht nur in der Super Micro-Ausrüstung, sondern auch in den Produkten anderer Unternehmen - chinesischen Hardware-Herstellern - festgestellt.

    Der Experte kam aufgrund der Studie des „Implantats“ zu dem Schluss, dass es in der Produktion umgesetzt wurde, höchstwahrscheinlich in der Fabrik, in der die Server des Unternehmens montiert werden. Die Industrieanlagen von Supermicro befinden sich in Guangzhou, etwas mehr als hundert Kilometer von Shenzhen entfernt, was "Silicon Valley Hardware" genannt wird.

    Leider konnten die Experten nicht genau verstehen, welche Art von Daten die infizierte Hardware überträgt oder verarbeitet. Es ist auch nicht bekannt, ob das Telekommunikationsunternehmen, das Applebaum engagierte, das FBI kontaktierte. Es ist schwer zu verstehen, um welche Art von Unternehmen es sich handelt. Auf Ersuchen von Bloomberg-Journalisten gaben die Vertreter von AT & T und Verizon Stellung. Beide Kommentare sind negativ - Unternehmen geben an, dass sie mit Kontrollen nicht zufrieden waren. Die gleiche Antwort wurde von Sprint gegeben, sie sagten, dass die Ausrüstung von Supermicro nicht gekauft wurde.

    Übrigens ist die Einführung eines Spionageimplantats ähnlich wie bei der NSA. Über die Methoden der Agentur wurde sowohl auf Habré als auch auf anderen Ressourcen wiederholt informiert. Applebaum nannte das Modul sogar "einen alten Bekannten", da ein solches System der Moduleinführung häufig in Geräten aus China zu finden ist.

    Applebaum sagte, dass er an Kollegen interessiert sei, ob sie mit ähnlichen Modulen konfrontiert seien, und sie bestätigten das Problem und sagten, dass dies durchaus üblich sei. Es ist erwähnenswert, dass es sehr schwierig ist, Änderungen an der Hardware zu bemerken, die von Geheimdiensten in vielen Ländern verwendet werden. Tatsächlich werden Milliarden von Dollar in die Hardware-Backdoor-Industrie investiert. Die Vereinigten Staaten haben ein geheimes Programm für die Entwicklung ähnlicher Systeme, wie Snowden bereits erwähnt hat. Warum sollten die Geheimdienste anderer Länder keine Spyware entwickeln?

    China ist eines der Länder, die sich aktiv an der Entwicklung ihrer eigenen Cyber-Sicherheitskräfte und gewissermaßen an „Cyber-Angriffen“ beteiligen.

    Drei Spezialisten für Informationssicherheit beschrieben, wie sie die Arbeit von Applebaum testeten, und ermittelten, wie die Software von Sepio die Hardware-Backdoor lokalisieren konnte. Eine Möglichkeit besteht darin, den Datenverkehr auf niedriger Ebene zu analysieren. Dies bedeutet, nicht nur die digitalen Datenübertragungen zu untersuchen, sondern auch die Erfassung von analogen Signalen - zum Beispiel den Stromverbrauch von Geräten. Wenn der Verbrauch sogar für einen Bruchteil größer ist, als es sein sollte, ist dies ein Grund zum Nachdenken.

    Mit der Sepio-Methode konnte festgestellt werden, dass nicht ein Gerät, sondern ein Server mit dem Netzwerk verbunden ist. Der Server übertrug Daten auf eine bestimmte Art und der Chip etwas anders. Der eingehende Datenverkehr kam aus einer vertrauenswürdigen Quelle, wodurch die Filter des Schutzsystems umgangen werden konnten.

    Visuell wurde der Standort des Chips (später, nachdem sein Vorhandensein bekannt wurde) durch Untersuchung der Ethernet-Ports bestimmt. Der Spionageanschluss hatte Metallkanten, nicht Kunststoff. Das Metall wurde benötigt, um die vom Chip im Inneren erzeugte Wärmeenergie abzuleiten, die als unabhängige Recheneinheit fungierte. Laut Applebaum erweckt das Modul keinen Verdacht, wenn Sie nicht genau wissen, worum es sich handelt, können Sie nichts ahnen.

    Die Tatsache, dass Hardware-Backdoors „mehr als real“ sind, wird von vielen Experten für Cyber-Sicherheit bestätigt. Mit der Entwicklung der Technologie hat sich die Miniaturisierung von Spyware-Modulen so sehr verbessert, dass Sie nun praktisch jedem Gerät "Spionage" hinzufügen können, was mit herkömmlichen Methoden einfach nicht erkannt werden kann, und Sie benötigen spezielle Software, Kenntnisse und Erfahrung in diesem Bereich. Meistens werden Module durch Komponenten ersetzt, die über eine eigene Stromversorgung verfügen, was für einen "Spion" ausreichend ist, um damit arbeiten zu können.

    Es sei darauf hingewiesen, dass Hardware-Backdoors selbst nicht neu sind. Viele große und kleine Unternehmen haben mit diesem Problem zu kämpfen und sprechen nicht immer über das Geschehene. In der Regel werden Systeme dieser Art jedoch dazu verwendet, Informationen über Staatsgeheimnisse verschiedener Staaten zu erhalten. Nutzerdaten in dieser Hinsicht ist der zehnte Punkt.

    Übrigens werden weltweit rund 100 Milliarden Dollar für die Bekämpfung von Cyberbedrohungen ausgegeben, und nur ein kleiner Teil dieser Mittel wird für die oben genannte Bedrohung ausgegeben.

    Jetzt auch beliebt: