Инженеры крупной телекоммуникационной компании из США обнаружили, что в их сети работает железо производства компании Supermicro, содержащее аппаратную закладку. Статью об этом опубликовало издание Bloomberg в продолжение (и в подтверждение) истории, о которой «Хакер» писал несколько дней назад. Речь идет о китайских шпионских чипах, которые якобы встраивают в серверы Super Micro Computer прямо на заводе.

История подтверждается документами, аналитикой и другими уликами — их предоставил эксперт по безопасности Йосси Эпплбоум, после того как прочитал расследование Bloomberg о закладках китайской разведки на материнских платах серверов Supermicro.

Эпплбоум в прошлом работал в техническом подразделении Изральской военной разведки, а сейчас занимает пост исполнительного директора Sepio Systems. Его компания занимается хардверной безопасностью, и именно ее наняла некая крупная телекоммуникационная фирма для подробной проверки своих дата-центров (название фирмы-клиента защищено договором о неразглашении).

В ходе проверки сервер Supermicro стал выдавать подозрительный трафик, и после физического осмотра на нем нашли имплант, встроенный в коннектор Ethernet.

Главный признак наличия импланта — металлические боковые поверхности коннектора Ethernet, установленные вместо обычных пластиковых. Дело в том, что скрытый в них чип нуждается в охлаждении во время работы, и металл лучше рассеивает тепло.

Модифицированный сервер отображается в сети как два устройства в одном, но весь трафик идет будто только от лица доверенного сервера, поэтому неавторизованный трафик может успешно проходить все фильтры. Также индикатором наличия подозрительной закладки могут служить аналоговые сигналы и аномалии потребления энергии.

Эпплбоум настаивает, что Supermicro — просто одна из пострадавших сторон в этой истории. Он видел следы таких манипуляций и в компьютерах других компаний, которые пользуются услугами китайских фабрик. По его словам, цепочка поставок из Китая предоставляет множество шансов произвести манипуляции с оборудованием, и не всегда есть шанс вычислить, когда именно это произошло. В этом случае эксперт определил, что чип подсоединили прямо на фабрике в Гуанчжоу, где был произведен сервер.

Представители Supermicro заявили, что им по-прежнему ничего не известно о наличии неоригинальных компонентов в их продукции, в том числе их клиенты не сообщали о подобных находках. В заявлении также говорится, что для компании нет ничего важнее безопасности клиентов, и в компании заботятся о целостности и своей продукции на протяжении всей цепи поставок.

Неизвестно, сообщила ли телекоммуникационная компания в ФБР о найденном чипе, а представитель ФБР отказался от комментариев.

Пытаясь выяснить, о какой компании идет речь, из редакции Bloomberg отправили запросы самым крупным операторам связи в США. Представители AT&T и Verizon ответили, что их не затронула эта проблема, из Sprint ответили, что не пользуются серверами Supermicro, а в T-Mobile от комментариев отказалась.

Представители Amazon и Apple по-прежнему отрицают, что их серверы были скомпрометированы. Ответные заявления изобилуют деталями, где пункт за пунктом разбирается статья Bloomberg. Сотрудники министерства внутренней безопаспости США в своем заявлении также отмечают, что у них нет причин сомневаться в словах Apple и Amazon.

Еще в сети появилось интервью с экспертом по хардверной безопасности Джо Фитцпатриком, который консультировал Bloomberg в указанном расследовании. Он был одним из немногих названных источников. Фитцпатрик нашел в статье свои слова (в которых он не слишком уверен, поскольку многие вещи просто предполагал), которые по словам Bloomberg, подтвердили семнадцать неназванных источников. В конце концов, эксперт начал сомневаться в существовании всех этих источников.

Теги: CSS, компании Bloomberg источников. которые идет