Chińscy szpiedzy montowali własne czipy w serwerach. Zagrożony Amazon, Apple i wojsko (aktualizacja)

Chińskim szpiegom udało się przeniknąć do łańcucha dostaw komponentów, używanych do budowy serwerów. Maszyny z dodatkowymi układami szpiegującymi wyjechały z fabryk i trafiły do centrów danych należących prawie 30 amerykańskich firm, w tym Apple'a, Facebooka i Amazona. To najbardziej atrakcyjny pokaz politycznego łamania zabezpieczeń sprzętowych, jaki mieliśmy okazję oglądać.

Układy, o których mowa, nie są większe od ziarnka ryżu, a najmniejsze z nich zmieszczą się nawet między warstwami płyty głównej. Zamontowane w serwerze zachowywały się jak sprzętowy koń trojański. Z pomocą tych układów chińskie służby wywiadowcze mogą udostępniać dane i wpuścić malware z zewnątrz. Bloomberg informuje, że operacja nie była szczególnie finezyjna. Odnotowano przypadki, gdy uzbrojeni funkcjonariusze chińskich służb siłą zmuszali pracowników fabryk do montowania rządowych czipów w serwerach.

Atak został przeprowadzony za pośrednictwem pochodzącej ze Stanów Zjednoczonych, ale działającej między innymi w Chinach firmy Super Micro Computer Inc (znanej jako Supermicro). To jeden z największych producentów płyt głównych na świecie, a jej produkty znajdziemy w maszynach medycznych, skomputeryzowanej broni i serwerach używanych zarówno przez największe firmy, jak i startupy. Były pracownik amerykańskiego wywiadu powiedział Bloombergowi, że Supermicro jest Microsoftem sprzętu. Atakowanie płyt głównych Supermicro jest jak atakowanie Windowsa. Od razu atakowany jest cały świat.

Modyfikacje zostały odkryte w serwerach będących własnością Amazonu i Apple'a podczas wewnętrznych kontroli, zapewne znajdują się w pochodzących z tego samego źródła maszynach w innych firmach. Na razie nic nie wskazuje na to, że dane firm lub użytkowników zostały w jakiś sposób naruszone lub wysłane do Chin. Obie firmy pracują obecnie nad usunięciem narażonych serwerów ze swojej infrastruktury, choć oficjalnie się do tego nie przyznają.

W przypadku Amazonu mamy możliwość odtworzenia drogi, jaką szkodliwe czipy dostały się do infrastruktury firmy. Celem ataku nie był sam Amazon, ale firma Elemental, zajmująca się kompresją wideo. Elemental korzystał z płyt głównych Supermicro, a jego maszyny były używane w Departamencie Obrony, przez CIA podczas operacji z użyciem dronów, w sieciach okrętów Marynarki Wojennej i w przynajmniej jednym banku. To czyniło z Elemental niezwykle atrakcyjny cel dla chińskiego wojska. Atak na Amazon i Apple to tylko rykoszet. Serwery Elemental są używane także komercyjnie, a firma została kupiona przez Amazon w 2015 roku, razem ze zmodyfikowanym sprzętem.

Sprawa została zgłoszona amerykańskim władzom 3 lata temu, ale Apple, Facebook i Amazon starają się zamieść sprawę pod dywan. Amazon twierdzi, że nie wie nic o serwerach ze szkodliwymi czipami w swoich chińskich oddziałach oraz, że nie pracował z FBI podczas dochodzenia w sprawie szkodliwych czipów. Firma potwierdza, że luki w zabezpieczeniach zostało znalezione, ale obwinia za nie oprogramowanie. Podobnie Facebook uzasadnia fakt, że zrezygnował z produktów Supermicro.

Apple także twierdzi, że nigdy nie zostały znalezione szkodliwe czipy, modyfikacje czy furtki, celowo umieszczane w serwerach. Warto jednak przypomnieć, że w 2016 roku Apple przestał współpracować z Supermicro i nigdy nie poznaliśmy prawdziwej przyczyny. Amazon zaś sprzedał swój sprzęt chińskiemu rywalowi, nigdy nie podając powodu.

Przedstawiciele amerykańskich służb wywiadowczych nie komentują tych doniesień oficjalnie, ale wiemy, że NSA także korzysta z takich sztuczek. Ich wadą jest to, że w przeciwieństwie do malware w oprogramowaniu, modyfikacje sprzętowe zawsze zostawiają jakiś ślad.

Rzeczniczka Amazonu w Polsce przesłała nam oświadczenie w tej sprawie:

W amerykańskich mediach sprawę dementuje także chiński rząd.