Bloomberg претендує на хакерський сервер SuperMicro, знайдений в US Telecom

Bloomberg претендує на хакерський сервер SuperMicro, знайдений в US Telecom

Минулого тижня Bloomberg опублікував вибухову статтю про те, що сервери SuperMicro були знайдені з критичними компромісами на рівні апаратного забезпечення, які могли бути вставлені лише на заводі. Звинувачення викликали потрясіння через міжнародну технічну спільноту. Теорія таких атак була теоретично можлива протягом багатьох років, але ніхто, як відомо, фактично не відбувся. Але після цієї історії такі компанії, як Apple та Amazon, обидва причетні до цих подій, наполегливо їх заперечували. Ці відмови підтримали Департамент внутрішньої безпеки, тоді як Bloomberg відстоював свою звітність, стверджуючи, що вона розмовляла з 17 різними джерелами як всередині відповідних компаній, так і в межах федерального уряду. Жодна сторона не моргнула.

Але Bloomberg не просто стоїть за попередніми звітами. Він просувається вперед. Організація зазначає, що американські телекомунікації виявили та видали магістральні сервери SuperMicro з своєї мережі в серпні. Bloomberg розмовляв з експертом з питань безпеки Йосі Аппбуумом, який працював у відповідних телекомунікаційних компаніях, і, як повідомляється, надавав документи, аналіз та додаткові докази його претензій.

Компанія Appleboum раніше працювала в технологічному відділі армійського розвідувального корпусу ізраїльської армії і зараз є співзасновником виконавчого директора Sepio Systems в Гейтерсбурзі, штат Меріленд. Його фірма спеціалізується на апаратній безпеці і була найнята для сканування декількох великих центрів обробки даних, що належать телекомунікаційній компанії. Bloomberg не ідентифікує компанію через Appleboum нерозголошення договору з клієнтом. Незвичайні повідомлення від сервера SuperMicro та подальша фізична перевірка виявили імплантант, вбудований у роз'єм Ethernet сервера, компонент, який використовується для приєднання мережевих кабелів до комп'ютера, сказав Appleboum.

Боротися з тим, чи ці твердження є вірними, триває. SuperMicro, до якого доповів Bloomberg для коментарів, зазначив:

Безпека наших клієнтів та цілісність наших продуктів є основою для нашого бізнесу та цінностей нашої компанії. Ми беремо на себе захист цілісності нашої продукції протягом всього процесу виробництва, а безпека ланцюга поставок - це важлива тема для обговорення для нашої галузі. Ми поки що не знаємо ніяких несанкціонованих компонентів, і ніхто з клієнтів не був поінформований про те, що такі компоненти були знайдені. Ми розчаровані в тому, що Bloomberg надасть нам лише обмежену інформацію, документацію та половину дня, щоб відповісти на ці нові звинувачення.

За даними Bloomberg, деталізовані сьогодні напади не ідентичні попереднім варіантам, які обговорювалися, але поділяють певні основні характеристики, а саме: "Вони обидва призначені для того, щоб дати злочинцям невидимий доступ до даних в комп'ютерній мережі, в якій встановлений сервер ; і було встановлено, що зміни були зроблені на фабриці, оскільки материнська плата виробляється субпідрядником SuperMicro у Китаї ".

Bloomberg претендує на хакерський сервер SuperMicro, знайдений в US Telecom

Appleboum зміг визначити, що пристрій було підроблено на фабриці, де вона була виготовлена, і що обладнання було побудовано субпідрядником SuperMicro в Гуанчжоу. Отруєне апаратне забезпечення було знайдено в об'єкті з декількома серверами SuperMicro, розміщеними всередині нього, але незрозуміло, які дані працюють на сервері, зокрема. Bloomberg зазначає, що аналіз обладнання, яке він знаходив, оброблявся групами кібер-та контррозвідки ФБР, а не Homeland Security, що може пояснити, чому DHS не знав про ці твердження. Appleboum стверджує, що консультувався з фірмами за межами США, і вони підтвердили йому, що вони відстежують маніпулювання обладнанням SuperMicro вже давно.

Три експерти з питань безпеки, які проаналізували іноземні апаратні імплантати для Міністерства оборони США, підтвердили, що спосіб, яким програмне забезпечення Sepio виявило імплантант, є здоровим. Один з небагатьох способів виявлення підозрілого обладнання - це перегляд найнижчих рівнів мережевого трафіку. Вони включають в себе не тільки звичайні передачі мережі, а й аналогові сигнали, такі як споживання енергії, що може вказувати на наявність прихованого апаратного забезпечення.

У випадку з телекомунікаційною компанією, технологія Sepio виявила, що невірний сервер SuperMicro фактично з'явився в мережі як два пристрої в одному. Законний сервер спілкувався в один бік, а імплантант - інший, але весь трафік з'явився з того ж довіреного сервера, який дозволив йому пройти через фільтри безпеки.

Appleboum заявив, що один ключовий знак імплантату полягає в тому, що маніпульований Ethernet-роз'єм має металеві сторони, а не звичайні пластикові. Метал необхідний для розсіювання тепла зсередини прихованого чіпа, який діє як міні-комп'ютер. "Модуль виглядає дійсно невинним, високоякісним і" оригінальним ", але він був доданий як частина атаки ланцюга поставок", - сказав він.

Ці дані вказують на те, що вектор атаки є більш правдоподібним, ніж пристрій, припарений до материнської плати або прихований всередині друкованої плати. Компонент, прихований усередині роз'єму Ethernet, було б важче виявити. І нові деталі повинні прояснити, яким чином напад було нібито здійснено та здійснено, допомагаючи відповісти на питання про те, що сталося, і що потрібно зробити з цим.

Найпопулярніше зображення: Getty

Читати далі

Bloomberg: M1X MacBook Pro може запустити в "Наступні кілька тижнів"
Bloomberg: M1X MacBook Pro може запустити в "Наступні кілька тижнів"

За словами Bloomberg's Mark Gurman нові MacBooks (які містять останній M1x CPU), повинні потрапити полиці протягом наступних декількох тижнів.

Apple заперечує історію китайської хакерської корпорації Bloomberg на Конгрес
Apple заперечує історію китайської хакерської корпорації Bloomberg на Конгрес

Apple продовжує заперечувати свою причетність до будь-якого китайського злому, цього разу до Конгресу. Тим часом, Bloomberg не залучає бюджет.