Шпионские страсти?

Самой громкой темой прошедшей недели оказалась информация об установленных в поставляемую из Китая в США продукцию дополнительных микросхем, предназначенных для шпионажа. В первоначальной публикации Bloomberg пострадавшими были названы фирмы Apple и Amazon, а также ещё около 30 крупных американских компаний, среди которых несколько крупных банков и правительственные структуры. Потом последовали опровержения и уточнения - как по сути, так и по масштабу происходящего. В этой статье мы попытаемся подвести промежуточные информационные итоги.

По сообщениям Bloomberg, история началась, в 2015 году, когда компания Amazon заинтересовалась продукцией фирмы Elemental Technologies, производителем программно-аппаратных решений для видеостриминга. Нанятая для аудита компания нашла в материнских платах серверов от Elemental дополнительный чип, не предусмотренный дизайном. Так как аналогичные серверы были установлены в ряде мест, где обрабатываются крайне ценные данные — в частности, они использовались в ЦРУ, в управлении военным флотом и других критичных с точки зрения безопасности организациях, расследование было продолжено. Сами материнские платы были произведены компанией Supermicro, и Elemental была не единственным поставщиком решений на базе вызвавшего подозрения железа в критическую инфраструктуру США.

Производство материнских плат Supemicro выполняют субподрядчики из Китая. Итоги расследования, продолжавшегося три года, дали основания предполагать, что дополнительные чипы были встроены в материнские платы при производстве, и открывали злоумышленникам доступ к сетям, где были установлены соответствующие компьютеры. Аппаратные «закладки» куда труднее обнаружить, чем вредоносное ПО, а значит, у злоумышленника будет больше возможностей их использовать. Так как в Китае, по оценкам, производится 75% мобильных устройств и 90% компонентов персональных компьютеров, то потенциальные возможности (и последствия) вмешательства очень велики. Сама по себе идея такой атаки не нова, но впервые речь идёт о столь масштабном проникновении в святая святых информационной инфраструктуры.

В Apple сообщили, что в том же 2015 году они обнаружили подозрительную сетевую активность и проблемы с прошивками приобретённых устройств. По сообщениям инсайдеров, тогда об этих находках уведомили ФБР, но огласки не последовало.

Сами чипы были тщательно замаскированы под разветвители и прочие невинные компоненты печатных плат, и без рентгеновского исследования и специального оборудования выяснить их истинное предназначение было невозможно. Размеры тоже менялись от модели к модели материнской платы. Сами чипы выполняли 2 основные функции: послать сигнал контрольному центру и загрузить полученный от него код в операционную систему компьютера. Это стандартная функциональность ботнета, но на этот раз реализованная на аппаратном уровне. Ну и в отличие от типичного ботнета, тут речь идёт о существенно более широких возможностях. Можно открыть беспарольный доступ, скопировать секретные ключи, и при таком масштабе операции, какой декларировался изначально, похищение данных кредитных карт выглядело бы несущественной мелочью.

Примерно так выглядела история в первоначальной версии. Но позже последовали опровержения. Так, Apple отвергла существование инсайдеров и осведомлённость о шпионских чипах, а также контакты с ФБР по их поводу. Также в компании предположили, что в Bloomberg неверно истолковали инцидент, когда в одной из лабораторий Apple был обнаружен сервер с вредоносным кодом в прошивке. В Amazon тоже заявили о том, что ничего не знали ни о вредоносных чипах при приобретении Elemental, ни об аналогичных чипах в китайском датацентре компании, который тоже упоминался в исходной статье. Supermicro присоединилась к заявлениям и опровергла информацию о любых правительственных расследованиях по поводу их компании. Представители ФБР и ЦРУ от комментариев отказались. Китайское министерство иностранных дел также заявило о приверженности страны принципам обеспечения кибербезопасности, но в данном контексте непонятно, что ещё могло быть сказано в официальном заявлении такого уровня.

Возникают вопросы и по поводу описанной технической реализации. Чип на фотографии, иллюстрирующей исходный материал, хорошо известен специалистам, и не может выполнять описанные в статьях функции. Маскировку для злонамеренного импланта можно было сделать существенно лучше, да и, в конце концов, можно было не ставить дополнительный чип, а модифицировать какой-нибудь из присутствующих на плате — их больше чем достаточно. Вряд ли имплант был на каждой плате от Supermicro, так что масштаб угрозы, скорее всего, преувеличен. Подробный анализ первоначальных обвинений и мыслимых объяснений можно найти, например, в статье на портале The Register.

Вне зависимости от того, действительно ли публикация Bloomberg — ложная тревога, эксперты с пессимизмом смотрят в сторону аппаратной безопасности. Тут не может спасти ни отечественное импортозамещение, ни возвращение производства в США, предпринятое (во всяком случае, анонсированное) Дональдом Трампом. Вполне возможно, что публикация — всего лишь громкий выстрел в торговой войне США и Китая, которая сейчас то затихает, то обостряется. Можно вспомнить и о запрете использования оборудования от Huawei и ZTE на военных базах из-за подозрения в шпионаже. Известный специалист по безопасности Брюс Шнайер в своём блоге сформулировал это афоризмом «Мы не можем никому доверять, но мы вынуждены доверять всем».

Нельзя не напомнить, что всякая информационная кампания имеет свою цену. В данном случае эта цена, например, выразилась в падении акций Supermicro на 50%. Пока компании не удалось восстановить курс акций, несмотря на опровержения. Упали на 15% акции Lenovo, на 11% — акции ZTE. Amazon и Apple потеряли всего по 2%, но при масштабах их капитализации абсолютная сумма вышла довольно заметной.


Автор:  Дмитрий Белявский (ТЦИ)

Возврат к списку