Hardwarová infekce schovaná v konektoru
Tento nový případ by měl být separátní, respektive paralelní. Ovšem opět se týká serverů Supermicro. Podle Bloombergu byla infikována americká telekomunikační společnost, pravděpodobně telefonní operátor a provozovatel sítě. V její infrastruktuře byl v srpnu nalezen a odstraněn „infikovaný“ hardware letos v srpnu. Uvádí to bezpečnostní expert Yossi Appleboum, který pro tuto firmu pracovat. Bloomberg píše, že od něj dostal analýzu a dokumenty dokládající tento případ špionáže.
Appleboumova firma Sepio Systems prováděla bezpečnostní skenování datacenter zmíněné společnosti. Jeden ze serverů značky Supermicro vykazoval neobvyklou síťovou komunikaci, které upozornila na možné problémy. Po inspekci samotného hardwaru se zjistilo, že přímo v portu jednoho ze síťových rozhraní byla opět schována malá štěnice (zda šlo o port RJ45, nebo o SFP+, nevíme). Ta zřejmě do serveru a celé sítě otevírala backdoor a mohla umožnit únik citlivých dat či ovládnutí systému. Vložení do síťového rozhraní asi logicky mělo za cíl, aby infekce bylo schopná komunikovat se spřáteleným škodlivým serverem někde venku ve světě.
Podvržený port byl kovový kvůli chlazení špionážního čipu
Infikovaný server komunikoval jako dvě zařízení, jednak legitimní síťové rozhraní, jednak štěnice. Provoz ale vypadal, jako by pocházel z legitimního serveru, takže byl schopen projít firewally a podobnými ochranami. Port měl trošku odlišný vzhled – místo plastu obvyklého u daného typu desky měl kovový plášť. Ten údajně byl nutný, sloužil jako pasivní chladič odvádějící teplo z čipu uvnitř. Ten tedy asi nebyl úplně primitivní a představoval kompletní miniaturní počítač. Podvržený konektor ovšem vypadal kvalitně a „originálně“. Pro pořádek bych jen dodal, že ne všechny porty síťových karet s kovovým pláštěm znamenají samy o sobě čínský backdoor. Kovové provedení je docela normální a časté, takže nerozdupávejdte své routery a desky.
V některých konektorech pro Ethernet je potenciálního místa pro škodlivý hardware opravdu hodně, jejich velikost je značná. Na této desce jsou tři konektory RJ-45 pro kroucenou dvoulinku (kabely UTP) a tři porty SFP+ (dlouhé perforované), do nichž se zasouvají kabely s optickými moduly v koncovkáchInfekce nastala opět už v továrně
Štěnice byla podle názoru Applebouma do základní desky vpravena při výrobě, jež se odehrála v jedné z Čínských továren, které pro Supermicro pracují na zakázku, a samotný výrobce o ničem nejspíš nevěděl. Podobné zařízení v konektoru síťovky údajně není novinka, v hardwaru vyráběném v Číně bylo nalezeno již dříve. Podobné štěnice prý měly i americké tajné služby. Rozdíl je ale v tom, že je instalovaly až podle potřeby nějakému sledovanému cíli, kdežto Čína zřejmě využívá toho, že má pod kontrolou mnoho fází výroby hardwaru. Ten je tím pádem kompromitován už od začátku backdoory jsou do světa posílány plošně. Je pak alespoň z části dosti dílem náhody, v jak citlivém (nebo naopak zcela nevinném a nijak nesouvisející s nějakými politickými a strategickými zájmy) prostředí skončí. A také je tím pádem těchto štěnic ve světě asi o dost víc. Podle Applebouma tajné služby různých zemí manipulace desek a serverů v nějaké míře monitorují či vyšetřují, ovšem nemusí jít nutně jen o servery a hardware čistě značky Supermicro.
Jaká konkrétní komunikační společnost byla tímto útokem postižena, Bloomberg nesdělil. Bylo by tím totiž porušeno ujednání, které s ní má bezpečnostní expert, sdělivší tyto informace. Že by je něco takového postihlo, popřely Bloombergu AT&T, Verizon, Sprint podle svých slov nemá v infrastruktuře Supermicro vůbec. Jen T-Mobile odmítl věc komentovat. Je ale třeba říci, že v takovém případě není nemyslitelné, že by některá z uvedených firem závažný bezpečnostní incident podobného rázu zamlčela a aktivně zapírala. Takové narušení bezpečnosti by totiž mohlo vést k žalobám a znamená finanční i reputační ztráty. Stejně ostatně zapřely popisované události všechny firmy, jichž se týkala předchozí zpráva, ale Bloomberg přesto trvá na tom, že má tyto skutečnosti dobře doložené.
Serverová základní deska Supermicro. Firma je jedním z největších výrobců serverů a desek pro něŠetření se vrací jako bumerang
Závěr je opět stejný – výroba citlivých, ba kritických zařízení v Číně je značným rizikem. Zvlášť vzhledem k tomu, že komponenty nakonec tvořící server tam mohou projít několika různými závody. To, jak se z ekonomických důvodů během mnoha let výroba do Číny sestěhovala, dává tamní vládě hodně silné možnosti k podobnému špionážnímu zneužití. To může jít jak proti národním zájmům, obraně a institucím států, tak proti zahraničním firmám, kde je zase cílem odcizení či okopírování knowhow, produktů a pokročilých technologií. To ovšem ve výsledku také může podrýt například západní státy (včetně nás) tím, že oslabí jejich průmysl a ekonomiku.
ČLÁNKY DO MAILU