Foi revelado ontem, 04/10/2018, pela Bloomberg, um caso que pode ser classificado como o maior hack de espionagem corporativa via hardware, executado por uma nação [que se tem notícia].
A reportagem indica a presença de um chip de vigilância inserido em placas mães de servidores produzidos pela Super Micro. Os chips possuem a capacidade de se comunicar com servidores na web e receber novos códigos. Há indicativos - por fontes anônimas da Bloomberg que incluem pessoas do governo, seniores da Apple e outros - de que os chips foram encontrados em aproximadamente 30 companhias norte americanas, incluindo Apple e Amazon.
O chip, obviamente, não faz parte do design original das placas mães e varia dependendo dos modelos das placas, indicando que houve um trabalho dos atacantes em fornecer diferentes lotes de chips para diferentes fábricas.
A empresa Norte Americana Super Micro é uma das líderes na venda de placas mães para servidores e dispositivos embarcados de diversas indústrias. A grande questão gira em torno sobre seu processo de manufatura, que está baseado na China.
O processo de investigação deste caso, que já dura cerca de 3 anos, indica que o governo chinês se organizou para conseguir infiltrar os chips de vigilância nas placas produzidas na China e que seriam utilizadas em servidores instalados em agências militares, de inteligência e companhias privadas dos EUA.
Há indicativos de que a Apple descobriu os chips em maio de 2015, após perceber atividades estranhas na rede e problemas relacionados a firmware, de acordo com uma das fontes da Bloomberg.
O que dizem as empresas envolvidas
Apple: Indica que nunca encontrou chips maliciosos, manipulações de hardware ou vulnerabilidades propositais implantadas em seus servidores, e que não teve contato com o FBI ou qualquer outra agência sobre este incidente.
https://www.apple.com/newsroom/2018/10/what-businessweek-got-wrong-about-apple/
Amazon: Informa que não é verdade que a empresa sabia de um comprometimento na rede de fornecimento de chips, sobre servidores contendo chips maliciosos, modificações em datacenters localizados na China, ou que a empresa tenha trabalhado com o FBI para investigar ou prover dados sobre o hardware malicioso.
Super Micro: Nega saber sobre a investigação ou que tenha sido contatado por alguma agência.
https://www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg.cfm
Governo Chinês: Indica que são defensores da cibersegurança e que a proteção das cadeias de suprimento são preocupações não somente do governo Chinês, mas também da Rússia e outros membros da Organização de Cooperação de Shangai, onde propuseram em 2011 aos EUA um “Código de Conduta Internacional para Segurança da Informação”.
Mais informações sobre as declarações neste link:
Análise
Apenas como referência, a comunidade de segurança utiliza muito o termo Supply Chain (Cadeia/rede de fornecimento), caso queiram ver referências sobre casos de hacking com modos de operação similares.
Para um ataque deste tipo ser executado, é necessário um completo conhecimento do hardware onde o chip será implantado. Imagine o esforço deslocado para a criação e todo o processo de inserção deste chip no processo de manufatura nas fábricas. Não se tem ideia da extensão do ataque, já que este ocorre em segredo há cerca de 3 anos. E, claro, há mais perguntas do que respostas, sem detalhes coerentes sobre os chips, onde e como eles são conectados nas placas. E o mais importante: sem evidências claras até o momento.
Em todo o caso, sobre o divulgado, é sempre bom lembrar a importância de se monitorar o tráfego de rede e criar baselines.
https://thehackernews.com/2018/10/china-spying-server-chips.html
https://www.theregister.co.uk/2018/10/04/supermicro_bloomberg/
