Další nález backdorů v serverech vyrobených v Číně: štěnice v portu síťové karty

15. 10. 2018

Sdílet

 Autor: Redakce

Předminulý týden se vynořil hodně vydatný skandál. Bloomberg přišel s informacemi, podle nichž při výrobě v čínských továrnách komunistická státní rozvědka instalovala tajné backdoor otevírající čipy do základních desek americké firmy Supermicro, aby tak získala přístup do sítí firem a úřadů v USA. Společnosti jmenované v onom článku (a samozřejmě také údajný původce) vše odmítají, ale mezitím se objevily i další zprávy o podobných incidentech s čínskými štěnicemi v serverech Supermicro.  

Hardwarová infekce schovaná v konektoru

Tento nový případ by měl být separátní, respektive paralelní. Ovšem opět se týká serverů Supermicro. Podle Bloombergu byla infikována americká telekomunikační společnost, pravděpodobně telefonní operátor a provozovatel sítě. V její infrastruktuře byl v srpnu nalezen a odstraněn „infikovaný“ hardware letos v srpnu. Uvádí to bezpečnostní expert Yossi Appleboum, který pro tuto firmu pracovat. Bloomberg píše, že od něj dostal analýzu a dokumenty dokládající tento případ špionáže.

Appleboumova firma Sepio Systems prováděla bezpečnostní skenování datacenter zmíněné společnosti. Jeden ze serverů značky Supermicro vykazoval neobvyklou síťovou komunikaci, které upozornila na možné problémy. Po inspekci samotného hardwaru se zjistilo, že přímo v portu jednoho ze síťových rozhraní byla opět schována malá štěnice (zda šlo o port RJ45, nebo o SFP+, nevíme). Ta zřejmě do serveru a celé sítě otevírala backdoor a mohla umožnit únik citlivých dat či ovládnutí systému. Vložení do síťového rozhraní asi logicky mělo za cíl, aby infekce bylo schopná komunikovat se spřáteleným škodlivým serverem někde venku ve světě.

Podvržený port byl kovový kvůli chlazení špionážního čipu

Infikovaný server komunikoval jako dvě zařízení, jednak legitimní síťové rozhraní, jednak štěnice. Provoz ale vypadal, jako by pocházel z legitimního serveru, takže byl schopen projít firewally a podobnými ochranami. Port měl trošku odlišný vzhled – místo plastu obvyklého u daného typu desky měl kovový plášť. Ten údajně byl nutný, sloužil jako pasivní chladič odvádějící teplo z čipu uvnitř. Ten tedy asi nebyl úplně primitivní a představoval kompletní miniaturní počítač. Podvržený konektor ovšem vypadal kvalitně a „originálně“. Pro pořádek bych jen dodal, že ne všechny porty síťových karet s kovovým pláštěm znamenají samy o sobě čínský backdoor. Kovové provedení je docela normální a časté, takže nerozdupávejdte své routery a desky.

V některých konektorech pro Ethernet je potenciálního místa pro škodlivý hardware opravdu hodně, jejich velikost je značná V některých konektorech pro Ethernet je potenciálního místa pro škodlivý hardware opravdu hodně, jejich velikost je značná. Na této desce jsou tři konektory RJ-45 pro kroucenou dvoulinku (kabely UTP) a tři porty SFP+ (dlouhé perforované), do nichž se zasouvají kabely s optickými moduly v koncovkách

Infekce nastala opět už v továrně

Štěnice byla podle názoru Applebouma do základní desky vpravena při výrobě, jež se odehrála v jedné z Čínských továren, které pro Supermicro pracují na zakázku, a samotný výrobce o ničem nejspíš nevěděl. Podobné zařízení v konektoru síťovky údajně není novinka, v hardwaru vyráběném v Číně bylo nalezeno již dříve. Podobné štěnice prý měly i americké tajné služby. Rozdíl je ale v tom, že je instalovaly až podle potřeby nějakému sledovanému cíli, kdežto Čína zřejmě využívá toho, že má pod kontrolou mnoho fází výroby hardwaru. Ten je tím pádem kompromitován už od začátku backdoory jsou do světa posílány plošně. Je pak alespoň z části dosti dílem náhody, v jak citlivém (nebo naopak zcela nevinném a nijak nesouvisející s nějakými politickými a strategickými zájmy) prostředí skončí. A také je tím pádem těchto štěnic ve světě asi o dost víc. Podle Applebouma tajné služby různých zemí manipulace desek a serverů v nějaké míře monitorují či vyšetřují, ovšem nemusí jít nutně jen o servery a hardware čistě značky Supermicro.

bitcoin školení listopad 24

Jaká konkrétní komunikační společnost byla tímto útokem postižena, Bloomberg nesdělil. Bylo by tím totiž porušeno ujednání, které s ní má bezpečnostní expert, sdělivší tyto informace. Že by je něco takového postihlo, popřely Bloombergu AT&T, Verizon, Sprint podle svých slov nemá v infrastruktuře Supermicro vůbec. Jen T-Mobile odmítl věc komentovat. Je ale třeba říci, že v takovém případě není nemyslitelné, že by některá z uvedených firem závažný bezpečnostní incident podobného rázu zamlčela a aktivně zapírala. Takové narušení bezpečnosti by totiž mohlo vést k žalobám a znamená finanční i reputační ztráty. Stejně ostatně zapřely popisované události všechny firmy, jichž se týkala předchozí zpráva, ale Bloomberg přesto trvá na tom, že má tyto skutečnosti dobře doložené.

Serverová základní deska Supermicro. Firma je jedním z největších výrobců serverů a desek pro ně Serverová základní deska Supermicro. Firma je jedním z největších výrobců serverů a desek pro ně

Šetření se vrací jako bumerang

Závěr je opět stejný – výroba citlivých, ba kritických zařízení v Číně je značným rizikem. Zvlášť vzhledem k tomu, že komponenty nakonec tvořící server tam mohou projít několika různými závody. To, jak se z ekonomických důvodů během mnoha let výroba do Číny sestěhovala, dává tamní vládě hodně silné možnosti k podobnému špionážnímu zneužití. To může jít jak proti národním zájmům, obraně a institucím států, tak proti zahraničním firmám, kde je zase cílem odcizení či okopírování knowhow, produktů a pokročilých technologií. To ovšem ve výsledku také může podrýt například západní státy (včetně nás) tím, že oslabí jejich průmysl a ekonomiku.