Взлом века: Китайские "жучки" установлены в тысячах серверов по всему миру
Удар был нанесен на уровне аппаратного обеспечения еще четыре года назад с помощью встраивания микросхемы в серверные материнские платы американской корпорации SuperMicro, сообщил Bloomberg. Пострадали не менее 30 крупнейших американских организаций, включая Amazon и Apple. Потенциальными жертвами могут стать ещё сотни компаний по всему миру, которые закупали сервера у американского производителя, включая российских клиентов крупнейшего мирового производителя серверного оборудования.
Согласно обширным интервью с правительственными и корпоративными источниками, атака китайских шпионов достигла почти 30 ведущих американских компаний, включая Amazon и Apple, ставя под угрозу цепь поставок американский технологий, сообщил Bloomberg.
В 2015 году Amazon Inc. начал прицениваться к стартапу Elemental Technologies (ET), чтобы ускорить работы по потоковому видеосервису, известному теперь как Amazon Prime Video. Базирующаяся в Портленде, компания ET делала программное обеспечение для сжатия массивных видеофайлов и форматирования их для различных устройств.
Её технология помогала транслировать Олимпийские игры онлайн, общаться с международной космической станцией и переправлять кадры, снятые беспилотниками, в Центральное разведывательное управление (ЦРУ). Обороные контракты не были главной причиной приобретения, но они вписывались в стратегию Amazon, которая выполняла работы для правительства, включая создание высокозащищенного облачного сервиса Amazon Web Services (AWS) для ЦРУ.
Проводя изучение компании перед покупкой, AWS, которой было поручено проведение контрольных процедур, наняли несколько подрядчиков для изучения ET на предмет безопасности. Первый же заход безопасников дал тревожные сигналы, вынуждая AWS внимательнее изучить основной продукт ET - дорогие серверы, которые клиенты установили в своих сетях для обработки сжатого видео.
Для ET эти серверы собрала компания Super Micro Computer Inc. (Сан-Хосе, США), широко известная как Супермикро (SuperMicro). Она является одним из крупнейших в мире поставщиков серверных материнских плат и кластеров чипов и конденсаторов на стекловолокне, которые используются для нейронных сетей в больших и малых центрах обработки данных (ЦОД). В конце весны 2015 года персонал ET отправил несколько серверов в Онтарио (Канада) для проверки независимыми экспертами в области безопасности.
Результаты оказались шокирующими. Изучая материнские платы серверов, тестеры обнаружили крошечную микросхему, ненамногим больше зернышка риса, которая не была частью оригинального дизайна материнской платы. Amazon сообщила об открытии властям США через ЦРУ. Серверы ET предполагалось установить в ЦОД Министерства обороны США, использовать для обеспечения операций дронов ЦРУ, а также разместить в бортовых сетях военных кораблей ВМФ. При этом ET была лишь одним из сотен(!) клиентов Супермикро.
Во время последующего секретного исследования, которое длится уже более трех лет, следователи определили, что микросхема позволила злоумышленникам создать скрытый «чёрный вход» (backdoor) в любую сеть, которая использовала измененные машины. Несколько источников заявили Bloomberg, что следователи обнаружили, что чипы были установлены на заводах, которые были в ведении субподрядчиков в Китае.
Это хакерская атака на порядок мощнее привычных «программных» взломов, которые мировая общественность привыкла видеть. «Аппаратные» взломы сложнее выявить, они потенциально более разрушительные. Они обещают взломщикам долгосрочный незаметный доступ, который является мечтой любых шпионских организаций. Такие агентства готовы инвестировать миллионы долларов и тратят много лет, чтобы организовать что-то подобное.
Есть два способа для шпионов, чтобы изменить внутренности компьютерного оборудования. Один из них, известный как проникновение, состоит из манипулирования устройствами пока они находятся в пути от производителя к клиенту. Этот подход предпочитают шпионские агентства США, следует из документов, утечку которых сделал бывший сотрудник Агентства национальной безопасности Эдвард Сноуден. Другой метод предполагает внесение изменений с самого начала.
И одна страна имеет колоссальное преимущество для выполнения такого способа атаки - Китай, который собирает 75% мобильных телефонов в мире и 90% персональных компьютеров. Тем не менее, чтобы на самом деле выполнить атаку второго рода, необходимо иметь глубокое понимания конструкции продукта, иметь возможности для манипулирования компонентами на заводе, а также гарантировать, чтобы многочисленные проверки пропустили товар через глобальную логистическую цепь. Такой подвиг сродни броску палки в верховьях реке Янцзы в районе Шанхая с гарантией её переплытия океана до берегов Сиэтла (США).
"Обнаружение промышленного, национального уровня, аппаратного имплантата на поверхности материнской платы будет не хуже свидетельства, что единорог перепрыгнул радугу. Это прямо чёрная магия", - заявил агентству Джо Гранд, аппаратный хакер и основатель Grand IDEA Studio Inc.
Но это именно то, что американские следователи обнаружили. Чипы были установлены в процессе производства оперативниками из подразделения Народно-освободительной армии. В лице Супермикро китайские шпионы, кажется, нашли идеальный канал для осуществления того, что американские чиновники теперь описывают как наиболее значимую атаку цепочки поставок американских компаний в истории.
Один источник заявил, что следователи обнаружили, что атака затронула почти 30 крупнейших компаний США, в том числе крупный банк, правительственных подрядчиков, и даже самую дорогую компанию в мире – Apple Inc. Apple была важным клиентом для Супермикро и планировала заказать более 30 000(!) серверов в течение двух лет для новой глобальной сети ЦОД. Три "важных" инсайдера в Apple говорят, что летом 2015 года компания также обнаружила вредоносные чипы и разорвала связи с Супермикро в 2016 году.
В заявлениях по электронной почте, Amazon (который объявил о своем приобретении ET в сентябре 2015 года), Apple, и SuperMicro оспорили выводы Bloomberg.
"Это не соответствует действительности, что AWS знал о проблемах в цепочки поставок о проблеме с вредоносными чипами, или об аппаратных модификациях при приобретении ET", - написала Amazon.
«На это мы можем заявить предельно ясно: Apple никогда не находила вредоносные чипы, «аппаратные манипуляции» или уязвимости, намеренно "подсаженные" на какой-либо сервер», - заявила Apple.
«Мы по-прежнему не знаем о каких-либо подобных расследованиях", - написала пресс-секретарь SuperMicro, Перри Хейс.
Китайское правительство не ответило непосредственно на вопрос о манипуляции с серверами Супермикро, выпустив заявление, где, в частности, говорится:
"Безопасность цепи поставок в киберпространстве является вопросом общей озабоченности, и Китай также является жертвой".
ФБР и Канцелярия директора национальной разведки, представляющие ЦРУ и АНБ, отказались от комментариев.
Отказы компаний опровергают шесть нынешних и бывших крупных должностных лиц в национальной безопасности, которые сообщили, что расследование началось во время администрации Обамы и продолжилось во время администрации Трампа. Они подтвердили и факт обнаружения вредоносных микросхем, и проведение правительственного расследования.
Одно из этих должностных лиц и два сотрудника из AWS представили обширную информацию о том, как было осуществлено нападение на ET и Amazon. Чиновник и один из инсайдеров описали детали сотрудничества Amazon с правительственными следователями. В дополнение к трем сотрудникам Apple, четверо из шести американских чиновников подтвердили, что Apple является жертвой. Всего 17 человек подтвердили манипуляции с аппаратными средствами. Источникам была обеспечена анонимность из-за чувствительного, а в некоторых случаях и засекреченного характера информации.
Один правительственный чиновник заявил, что цель Китая - долгосрочный доступ к ценным корпоративным секретам и чувствительным правительственным сетям. Персональные данные потребителей украдены не были.
Последствия атаки продолжают изучаться. Администрация Трампа сделала компьютеры и сетевое оборудование, включая материнские платы, предметом своего последнего раунда торговых санкций против Китая. Белый дом дал ясно понять, что они ожидают изменений в цепочки поставок. Только отказ от сотрудничества с Китаем может успокоить чиновников США, которые годами предупреждали о небезопасности цепочки поставок, даже если они никогда и не раскрывали основную причину своих опасений.
SuperMicro
Сегодня, Супермикро продает больше серверных материнских плат, чем почти все остальные вместе взятые. Она доминирует на рынке в $1 млрд для материнских плат, используемых в специализированных компьютерах, от томографов до оружейных систем. Её материнские платы можно найти в сделанных на заказ серверных стойках для банков, хедж-фондов, поставщиков облачных сервисов и других секторов экономики. В штате Калифорния, Нидерландах и на Тайване осуществляются сборочные работы, но производство материнских плат передано подрядчикам в Китае.
Компания знаменита непревзойденной индивидуализацией продукции, что стало возможным благодаря сотням инженеров, работающих на полную ставку. Каталог товаров охватывает более 600 конструкций. Большинство работников компании в Сан-Хосе составляют выходцы из Тайваня или Китая. Южно-китайский диалект (мандарин) является предпочтительным языком общения внутри компании. Производственные задания пишут иероглифами, заявили шесть бывших сотрудников компании. Китайская выпечка доставляется каждую неделю, и многие рутинные производственные звонки делаются дважды, один раз для англоговорящих рабочих и второй - на мандарине. Последние являются более содержательными, сообщили источники Bloomberg.
Обширные международные связи компании и широкое использование мандарина облегчили работу Китаю. Китайцы могли получить представление о деятельности Супермикро и, возможно, проникнуть в компанию. Американский чиновник заявил, что правительство по-прежнему изучает нет ли шпионов в Супермикро или других американских компаниях, которые помогли осуществить крупнейшую атаку в истории.
С более чем 900(!) клиентами в 100(!) странах мира к 2015 году, Супермикро предложила шикарную возможность для осуществления атаки на ряд соблазнительных целей.
"Подумайте о SuperMicro, как о Microsoft, но в мире аппаратного обеспечения. Атака через материнские платы похожа на атаку через открытые окна. Это как атаковать весь мир", - сказал агентству бывший сотрудник разведки США, который изучал Супермикро и её бизнес-модель.
Nota bene
SULARU перевело более половины текста, остальное является контекстом события, из которого Bloomberg выдёргивает информацию для подтверждения своих обвинений. Можно смело сказать, что информация – бомба, без преувеличений. Остаётся дождаться, взорвётся ли она. Обвинения во многом кажутся притянутыми за уши. Особенно впечатлил пассаж про китайскую выпечку – это точно основное доказательство шпионской деятельности. Напомним, что по поводу шпионской истерии иронизируют не только китайцы.
Также напомним, что в преддверии выборов в Конгресс президент США Дональд Трамп решил разыграть карту китайского вмешательства еще пару недель назад. Эту же мысль он высказал на полях Генассамблеи ООН. Но подоплёка события понятна: в Америке считается, что Россия обеспечила ему победу в выборах. Если он докажет вмешательство в выборы Китая, который крайне недоволен Трампом по понятным причинам, то он докажет, что его победа была легитимна и избежит импичмента, обеспечив республиканцам достаточное голосов в палате общин (нижняя палата парламента).
Кстати, за несколько часов акции компании SuperMicro упали в 2 с лишним раза с $21,40 до $8,55 за акцию. Потом восстановились до $12,55 за акцию.
