Bloomberg претендует на взломанный сервер SuperMicro, найденный в US Telecom
На прошлой неделе Bloomberg опубликовал взрывоопасную статью, в которой утверждалось, что серверы SuperMicro были обнаружены с критическими компрометами на аппаратном уровне, которые могли быть вставлены только на заводе. Утверждения направили ударные волны через международное технологическое сообщество. Такие нападения теоретически были возможны в течение многих лет, но, как известно, их не было. Но после истории такие компании, как Apple и Amazon, оба были замешаны в этих событиях, усиленно отрицали их. Эти отказы были поддержаны Департаментом национальной безопасности, в то время как Bloomberg защищал свою отчетность, заявляя, что разговаривал с 17 различными источниками как внутри соответствующих компаний, так и внутри федерального правительства. Ни одна из сторон не моргнула.
Но Bloomberg не просто стоит на основании своих предыдущих отчетов. Это продвигается вперед. Организация отмечает, что американская телекоммуникационная компания открыла и удалила управляемые серверы SuperMicro из своей сети в августе. Блумберг обратился к эксперту по вопросам безопасности Йоси Эпплбум, который работал в этой телекоммуникационной компании и, как сообщается, предоставлял документы, анализы и дополнительные доказательства своих заявлений.
Appleboum ранее работал в подразделении технологии разведывательного корпуса израильской армии и в настоящее время является со-исполнительным директором Sepio Systems в Гейтерсбурге, штат Мэриленд. Его фирма специализируется на аппаратной безопасности и была нанята для сканирования нескольких крупных центров обработки данных, принадлежащих телекоммуникационной компании. Bloomberg не идентифицирует компанию из-за соглашения о неразглашении Appleboum с клиентом. Необычные сообщения с сервера SuperMicro и последующий физический осмотр показали имплантат, встроенный в Ethernet-разъем сервера, компонент, который используется для подключения сетевых кабелей к компьютеру, сказал Appleboum.
Борьба за то, верны ли эти утверждения, продолжается. SuperMicro, достигнутый Bloomberg для комментариев, заявил:
Безопасность наших клиентов и целостность наших продуктов являются основой нашего бизнеса и ценностей нашей компании. Мы заботимся о том, чтобы обеспечить целостность наших продуктов на протяжении всего производственного процесса, а безопасность цепочки поставок является важной темой для обсуждения нашей отрасли. Мы по-прежнему не знаем каких-либо несанкционированных компонентов и никому не сообщили, что такие компоненты были найдены. Мы обеспокоены тем, что Bloomberg предоставит нам только ограниченную информацию, документацию и полдня, чтобы ответить на эти новые обвинения.
Согласно Bloomberg, описанные сегодня атаки не идентичны более ранним вариантам, которые обсуждались, но имеют общие ключевые характеристики, а именно: «Они оба предназначены для того, чтобы дать злоумышленникам невидимый доступ к данным в компьютерной сети, в которой установлен сервер ; и было установлено, что изменения были сделаны на заводе, поскольку материнская плата была произведена субподрядчиком SuperMicro в Китае ».
Appleboum смог определить, что устройство было подделано на заводе, где он был изготовлен, и что оборудование было построено субподрядчиком SuperMicro в Гуанчжоу. Отравленное оборудование было обнаружено на объекте с несколькими серверами SuperMicro, развернутыми внутри него, но неясно, какие данные выполнялись на сервере, в частности. Bloomberg отмечает, что анализ найденного оборудования был обработан группами кибер-контрразведки ФБР, а не Homeland Security, что может объяснить, почему DHS не знал об этих утверждениях. Appleboum утверждает, что консультировался с фирмами за пределами США, и они подтвердили ему, что они довольно долго отслеживали манипуляции с оборудованием SuperMicro.
Три эксперта по безопасности, которые проанализировали зарубежные аппаратные имплантаты для Министерства обороны США, подтвердили, что способ, которым программное обеспечение Sepio обнаружил, что имплантат звучит. Один из немногих способов идентификации подозрительного оборудования - это поиск самых низких уровней сетевого трафика. К ним относятся не только обычные сетевые передачи, но и аналоговые сигналы, такие как энергопотребление, которые могут указывать на наличие скрытой части аппаратного обеспечения.
В случае телекоммуникационной компании технология Sepio обнаружила, что поддельный сервер SuperMicro фактически появился в сети как два устройства в одном. Доминирующий сервер обменивался одним способом, а имплантат - другим, но весь трафик, казалось, поступал с одного и того же доверенного сервера, что позволяло ему проходить через фильтры безопасности.
Appleboum сказал, что одним из ключевых признаков имплантата является то, что управляемый разъем Ethernet имеет металлические стороны вместо обычных пластиковых. Металл необходим для рассеивания тепла от чипа, скрытого внутри, который действует как мини-компьютер. «Модуль выглядит действительно невинным, высоким качеством и« оригинальным », но он был добавлен как часть атаки цепочки поставок», - сказал он.
Эти детали предполагают, что вектор атаки более правдоподобен, чем часть оборудования, припаянного к материнской плате или скрытого внутри печатной платы. Компонент, скрытый внутри гнезда Ethernet, будет намного сложнее обнаружить. И новые детали должны пролить свет на то, как якобы осуществлялось и осуществлялось нападение, помогая ответить на вопрос о том, что произошло и что нужно сделать по этому поводу.
Топ: Getty
Читать далее
Новые вредоносные программы распространяются через взломанные сайты как обновление поддельного браузера
Существует новая часть вредоносного ПО, делающая раунды онлайн через взломанные веб-сайты, которые используют сложные перенаправления и модифицированный JavaScript для загрузки вредоносной полезной нагрузки на ваш компьютер.
Хакеры шпионили за учетными записями электронной почты Microsoft через взломанную учетную запись администратора
Проблема была исправлена, но неясно, как долго нарушение оставалось незамеченным или что злоумышленники могли видеть.