W czwartek "Bloomberg Businessweek" opublikował artykuł, który ujawnia kulisy jednej z największych afer szpiegowskich ostatnich lat. Dziennikarze "Bloomberga" twierdzą - a powołują się na 17 niezależnych źródeł - że chińskie władze szpiegowały 30 znanych amerykańskich firm, korzystając niewielkiego chipu umieszczonego w urządzeniach firmy SuperMicro, producenta serwerów, którego klientami były m.in Apple i Amazon.
O tym, czy scenariusz opisany przez "Bloomberga" jest realny rozmawiamy z Michałem Jarskim, ekspertem ds. cyberbezpieczeństwa i VP EMEA w firmie Fudo Security.
Michał Jarski, VP EMEA w Fudo Security fot. mat. prasowe
Daniel Maikowski: Na czym polega metoda ataku opisana przez Bloomberga?
Michał Jarski: Wprowadzenie modyfikacji sprzętu dostarczanego określonym odbiorcom (Supply Chain Compromise) jest – ze względu na złożoność samych układów oraz cyklu produkcyjnego – potencjalnie wykonalna, a jednocześnie trudna do wykrycia.
Na te tematy krążą miejskie legendy opisujące przechwytywanie przez NSA paczek z elektroniką i umieszczanie w przejętym sprzęcie „szpiegowskich chipów”. Albo dokładanie modułów lokalizacyjnych do drukarek, co rzekomo miało umożliwiać określenie położenia strategicznych obiektów wroga i ich zbombardowanie.
Dotychczas były to tylko legendy, dalekie od rzeczywistych scenariuszy. Tymczasem publikacja "Bloomberga" wydaje się być bardzo prawdopodobna. Jest bowiem oparta na bardzo solidnych przesłankach i udokumentowana przez wiele niezależnych źródeł.
Równie mocne i argumenty można jednak odnaleźć w oficjalnych stanowiskach Supermicro, Apple oraz Amazona...
- Można powiedzieć, że są to nadzwyczaj dokładne informacje, w przeciwieństwie do zwyczajowych, ogólnikowych komunikatów mających na celu odparcie ataku mediowego. Zatem ktoś się tu mija z prawdą.
Komuś mogło zależeć na wprowadzeniu w błąd dziennikarzy?
- Być może chodzi o dezawuację kolejnego chińskiego producenta, który jest dominującym dostawcą platform sprzętowych dla wielu firm. Może chodzi tu o kolejny rozdział w wojnie handlowej pomiędzy Chinami a USA. Pamiętajmy, że to trochę „odgrzewany kotlet” z 2015 roku, jak wspomina komunikat Supermicro.
Czy atak z wykorzystaniem szpiegującego chipu, to rzeczywisty scenariusz?
- Tak mały chip ma z natury niewielkie możliwości. Rzekoma komunikacja z serwerami C&C jest utrudniona ze względu na umiejscowienie w architekturze płyty głównej. Również możliwości ingerowania w komputer, jego firmware są de facto minimalne.
Umieszczenie takiego chipu w produkcji to także nie jest prosta operacja. Nie można go po prostu wlutować w płytę główną. Musi zostać wykonana modyfikacja całej płyty i procesu jej montażu, a to bardzo trudne i potencjalnie łatwe do wykrycia.
"Bloomberg" pisze, że do wykrycia chipu doszło podczas standardowego audytu.
- Samo odkrycie chipu w trakcie audytu sprzętu Elemental jest mało prawdopodobne. W takich procesach raczej sprawdza się oprogramowanie, a nie analizuje przebiegi ścieżek na płycie głównej.
Łatwiejszą drogą do przeprowadzenia takiego ataku byłoby wyprodukowanie specjalnie zmodyfikowanych chipsetów zawierających moduły szpiegowskie, które łatwiej jest podrzucić do procesu produkcyjnego. Złożoność oprogramowania sprzętowego oraz łatwość podrzucania jego zmodyfikowanych wersji daje dużo większe pole do popisu niż modyfikacje sprzętowe.
Podsumowując – łatwiej zmodyfikować oprogramowanie i pozostać niewykrytym niż bawić się w budowanie mikrochipów, które łatwo mogą stać się bohaterami tekstów "Bloomberga". Szpiedzy pójdą raczej prostszą i skuteczniejszą drogą.
