«Это проблема всей отрасли»: разбор расследования Bloomberg о китайских шпионских чипах

Подробная история и экспертный анализ происходящих событий.

4 октября издание Bloomberg рассказало о том, что в США с 2015 года расследуют масштабную кибератаку со стороны Китая. Согласно интервью с правительственными и корпоративными экспертами, китайцы скомпрометировали цепочку поставок микросхем в США и шпионили за тремя десятками американских компаний, среди которых Amazon и Apple.

Спецслужбы Китая могли получить доступ к серверам компаний и полностью контролировать оборудование, удаленно подключаться к компьютерам и внедрять вредоносный код в операционную систему.

Apple, Amazon и другие участники публикации Bloomberg отрицают всё происходящее, а рынок акций китайских компаний начал падать.

Обложка Businesweek с публикацией расследования. Источник: Multichannel
Обложка Businesweek с публикацией расследования. Источник: Multichannel

Предпосылки для расследования

В 2006 году три инженера из Орегона разрабатывали технологию сжатия потокового видео, которая значительно сокращала время обработки больших видеофайлов. Инженеры понимали, что в скором времени технологическим компаниям понадобятся инструменты для конвертирования записанного видео в различные форматы для смартфонов, ноутбуков и других устройств. Компанию назвали Elemental Technologies.

По словам бывшего советника компании, сервера Elemental продавались по цене до $100 тысяч с себестоимостью около 70%. Первые клиенты Elemental — мормонская церковь, которая вела прямую трансляцию проповеди в конгрегациях по всему миру, а также представители порно-индустрии.

В 2009 году компания начала работать с американскими шпионскими агентствами. Elemental объявила о партнерстве с инвестиционным подразделением ЦРУ In-Q-Tel. Elemental начала поставлять сервера в АНБ, ЦРУ и другие службы правительства США.

В 2015 году Amazon начала расширять возможности потокового видео Amazon Prime Video. Для этого компании понадобились высокопроизводительные сервера. Она рассматривала покупку Elemental Technologies. Технологии Elemental использовались во время трансляции Олимпийских игр, связи с Международной космической станцией и обработки спутниковых снимков в ЦРУ.

Elemental позиционировала себя как крупного производителя сетевого оборудования. В рекламных материалах компания демонстрировала, что её сервера используются в центрах обработки данных Министерства обороны США, на военных кораблях ВМС для передачи бортовых задач, внутри правительственных зданий для шифрованных конференций, а также в NASA, в Конгрессе и департаменте внутренней безопасности. Статус Elemental превратил компанию в мишень для врагов США.

Для создания серверов Elemental использовала мощности компании Supermicro. Штаб-квартира компании находилась в Сан-Хосе в Калифорнии, там же производились материнские платы для продукции, рядом с крупнейшими клиентами.

Сейчас Supermicro доминирует на рынке серверных материнских плат, капитализация компании превышала $1 млрд. Её продукция используется в различных видах вычислительной техники: от МРТ до систем вооружения.

Материнские платы установлены в кастомных серверах в банках, хедж-фондах, поставщиках облачных сервисов и веб-хостерах. Сборочные установки находятся в Калифорнии, Нидерландах и Тайване, но основной продукт — материнские платы, изготавливаются китайскими подрядчиками.

Фабрика Supermicro. Фото Glassdoor
Фабрика Supermicro. Фото Glassdoor

В Сан-Хосе большинство сотрудников разговаривают на двух языках — китайском и английском. По информации источников Bloomberg, пока неясно, были ли шпионы, стоящие за потенциальной атакой, внутри Supermicro или других американских компаний.

В 2015 году у Supermicro было 900 клиентов в ста странах. Бывший сотрудник американской разведки, изучавший Supermicro, сравнивает проникновение микросхем компании с проникновением на компьютеры Windows. «Подумайте о Supermicro, как о Microsoft в мире аппаратного обеспечения. Уязвимость в материнских платах компании похожа на уязвимость на Windows. Это нападение сразу на весь мир», — говорит он.

Как Amazon нашёл уязвимости

Работа Elemental с ЦРУ не испугала Amazon, компании заключили сделку о покупке Elemental. Возможности Elemental хорошо сочетались с необходимым уровнем безопасности облачного сервиса Amazon — Amazon Web Services (AWS), который компания также предлагала ЦРУ для работы.

Для оценки безопасности Elemental специалисты AWS наняли подрядчика, который с первой же проверки обнаружил неладное. Высокопроизводительные сервера Elemental, которые использовались для обработки видео, собирала компания Super Micro Computer (Supermicro).

Это один из крупнейших поставщиков серверных материнских плат, которые используются в том числе в центрах обработки больших и малых данных. В конце весны 2015 года сотрудники Elemental объединили несколько серверов и отправили их в Онтарио, Канаду, в стороннюю компанию-безопасника для тестирования.

Тестировщики обнаружили на материнских платах в серверах инородные крошечные микрочипы, которые не были частью оригинальной материнской платы.

Анимация, демонстрирующая шпионский чип. Источник: Bloomberg

Amazon сообщила о находке властям США, отправив предупреждение в ЦРУ. Сервера Elemental использовались в центрах обработки данных министерства обороны США, беспилотниках ЦРУ и бортовых сетях военных кораблей ВМФ США. И Elemental был лишь одним из сотен клиентов Supermicro.

На протяжении трёх лет неизвестные микросхемы изучали специалисты. Они выяснили, что чипы позволяли создавать невидимый бэкдор («чёрный ход») в любую сеть, где использовались модифицированные сервера. Источники Bloomberg говорят, что чипы были установлены на фабриках-субподрядчиках в Китае.

Источник: Bloomberg
Источник: Bloomberg

По мнению Bloomberg, эта скрытая атака серьезнее, чем традиционные уязвимости в ПО, которые периодически обнаруживают специалисты. Аппаратные уязвимости сложнее обнаружить, они могут быть разрушительнее, поскольку у них есть способность скрытно работать на протяжении нескольких лет, а на их разработку и обнаружение тратятся миллионы долларов.

Почему обвиняют Китай

В кибершпионаже существует два способа изменения «внутренностей» компьютерного оборудования. Первый — установка «жучков» во время передачи устройства от производителя к клиенту. Второй — модификация микросхем на заводе. Этим могут пользоваться страны, производящие оборудование самостоятельно. Здесь основное преимущество у Китая — Bloomberg подмечает, что страна производит 75% смартфонов и 90% всех компьютеров в мире.

Но чтобы внедрить «жучки», нужно хорошо понимать в разработке продуктов, манипулировать компонентами на заводе и обеспечивать грамотную логистику, чтобы партия модифицированных микросхем попала в нужное место. В разговоре с Bloomberg два оперативника из КНР подтвердили находку американских следователей: «жучки» были вставлены во время производственного процесса.

Фото: Bloomberg
Фото: Bloomberg

Китайские спецслужбы нашли в Supermicro идеальный канал для шпионажа за официальными лицами США: это самая большая сеть поставок шпионского оборудования, которая когда-либо проводилась против американских компаний.

Один из чиновников КНР сказал Bloomberg, что атака затронула около 30 компаний, в том числе банк, правительственных подрядчиков, а также Apple и Amazon.

Apple являлась важным клиентом Supermicro и хотела заказать около 30 тысяч серверов для новой сети центров обработки данных. В Apple три инсайдера признались Bloomberg, что летом 2015 года обнаружили вредоносные чипы на материнских платах Supermicro, после чего Apple разорвала связь с производителем.

17 источников Bloomberg

Издание Bloomberg нашло семнадцать анонимных экспертов из Amazon, администрации правительства и высокопоставленных должностных лиц АНБ, которые подтверждают информацию о шпионских чипах.

К примеру, источники сообщают о сотрудничестве Amazon c американскими властями и признании Apple жертвой шпионских атак.

Один из чиновников рассказал Bloomberg, что целью Китая был долгосрочный доступ к корпоративным секретам и правительственным сетям, но данные украдены не были. Косвенно подтверждают факт шпионажа со стороны Китая новые санкции администрации Трампа.

Среди новых запретов — поставки компьютерного и сетевого оборудования, в том числе материнских плат. Считается, что это поможет перенести производство из Китая в другие страны, что увеличит безопасность корпоративных и правительственных сетей.

Как работает хак, по словам официальных лиц США

Китайские силовые структуры спроектировали и произвели микрочипы размером с заостренный кончик карандаша. Некоторые микросхемы проектировались так, чтобы маскироваться под разветвители сигнала.

Чип подключался к цепям соединения BMC-контроллера с SPI Flash или EEPROM-памятью, на которой хранилась прошивка. Чип мог модифицировать данные из памяти, выполнять собственный код на уровне BMC, который имеет приоритет выполнения операций.

Внутри BMC находятся память, сетевое и вычислительное оборудование с достаточной для атаки мощностью. Через него чип получал доступ к сетевым функциям и системной памяти, мог получать инструкции извне и модифицировать прошивку.

Атакующие могли через взломанный BMС полностью контролировать оборудование и менять настройки, к примеру, отключать аутентификацию и открывать доступ в сеть для удаленного доступа, управлять сетевыми накопителями и прошивками и внедрять вредоносный код в операционную систему.

  • Микрочипы устанавливались на китайских фабриках Supermicro, одного из крупнейших в мире поставщиков серверных материнских плат.
  • Модифицированные материнские платы использовали при сборке серверов Supermicro.
  • Саботированые сервера устанавливались в центры обработки данных в десятках американских компаний.
  • Когда сервера подключались и включались, микрочипы активировались и начинали работать в спящем режиме, ожидая команды хакеров.

Процесс расследования

До того, как доказательства нападений появились в американских компаниях, разведка США сообщала о том, что китайские шпионы планировали использовать вредоносные чипы в производственном процессе. В 2014 году представители разведки отправляли доклад в Белый дом с конкретным предупреждением: военные Китая планируют использовать Supermicro для шпионажа. Конкретных источников Bloomberg не называет.

Сложность состояла в том, что предупреждение о потенциальной угрозе клиентов Supermicro могла привести к прекращению существования крупного американского производителя аппаратных продуктов, а цели китайских шпионов были неизвестны. Без подтверждения о уже совершенной атаке ФБР было ограничено в ответных действиях. Белый дом периодически запрашивал обновления о ситуации, но обнародовать информацию не стал.

Источники Bloomberg говорят, что Apple обнаружила подозрительные чипы в серверах Supermicro в мае 2015 года — возникли неполадки в прошивке и подозрительная сетевая активность. Два инсайдера из Apple подробно рассказали о своей находке, но информация не выходила за пределы страны.

Amazon покупает Elemental. Источник: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Faws.amazon.com%2Fru%2Fblogs%2Faws%2Fwelcome-to-our-new-colleagues-at-elemental%2F&postId=47938" rel="nofollow noreferrer noopener" target="_blank">Amazon</a>
Amazon покупает Elemental. Источник: Amazon

Amazon после покупки Elemental дала доступ к подозрительному оборудованию для анализа. Разведка США и ФБР смогли провести расследование и изучить принцип работы чипов.

По словам одного из источников Bloomberg, в подробном отчете подрядчика по кибербезопасности, отправленного в Amazon, присутствовали фотографии и рентгеновские снимки микросхем — они были практически незаметны внутри материнской платы.

Бело-серые микросхемы были больше похожи на часть компоновки для передачи сигнала, чем на обычный чип, поэтому без специального оборудования их было практически невозможно обнаружить. В зависимости от модели материнской платы чипы отличались по размеру. Bloomberg предполагает, что разные партии поставлялись с разных фабрик.

Должностные лица, знакомые с расследованием, говорят, что основная роль шпионских микросхем — открыть «двери» для других атак. Чип на материнской плате Supermicro управлял основными командами, которые сообщали серверу что делать, когда данные передаются по материнской плате.

В определенный момент передачи данных небольшой набор бит операционной системы сохранялся во временной памяти платы по пути к процессору. Вредоносный чип размещался так, чтобы редактировать очередь команд к процессору, вставляя собственный код или изменяя порядок инструкций, которые должен выполнять процессор.

Небольшой размер чипов позволял запускать малое количество команд. Но они могли делать две операции: заставлять сервер обмениваться информацией с анонимными компьютерами в интернете и подготавливать процессор к выполнению команд, которые придут с анонимного компьютера.

Также шпионские чипы были подключены к контроллеру управления основной платой — чипу, который предоставлял администраторам низкоуровневый доступ к данным даже на сломанных и выключенных компьютерах.

Эта система позволяла злоумышленникам получить доступ к работе устройства и бесследно изменять его по своим нуждам. К примеру, чип-имплантат мог изменить часть кода, отвечающего за проверку пароля — система перестанет его запрашивать и доступ к ней получит любой подключившийся. Также он мог красть ключи шифрования безопасной связи, блокировать обновления безопасности, отвечающие за поиск уязвимостей. Аномалии будут распознаваться как необъяснимый сбой.

В отличие от программных хаков, манипуляции на аппаратном уровне можно отследить: компоненты приходят со счетами-фактурами, материнские платы с серийными номерами, которые проставляются на определенных фабриках. Спецслужбы США начали проверять цепочку поставок Supermicro в обратном направлении.

Фабрика Supermicro в Тайване. Источник: Habr
Фабрика Supermicro в Тайване. Источник: Habr

Всего в 2016 году у Supermicro было три основных производителя материнских плат: две штаб-квартиры на Тайване и одна в Шанхае. Когда у поставщиков появлялось большое количество заказов, часть работы отдавалась субподрядчикам.

Чтобы определить конечный завод-производитель, американские спецслужбы перехватывали сообщения, прослушивали осведомителей на Тайване и в Китае, отслеживали людей через смартфоны. В результате расследования они вышли на четыре фабрики-подрядчика, которые производили материнские платы Supermicro не менее двух лет.

По информации Bloomberg, американским спецслужбам удалось увидеть процесс изменения материнских плат. В некоторых случаях к руководству завода приходили люди, которые представлялись сотрудниками Supermicro или спецслужбой и заставляли вносить изменения в платы, предлагая взятки. Если это не срабатывало — угрожали руководителям инспекциями и закрытием завода.

Следователи пришли к выводу, что эти действия — работа подразделения армии КНР, специализирующегося на «железных» атаках. Существование этого подразделения не стало публичным — это лишь слова одного из источников Bloomberg.

Предполагается, что это подразделение сосредоточено на приоритетных целях — продвинутых коммерческих технологиях и компьютерах военных из других стран. В прошлых атаках подразделение КНР взаимодействовало с проектами для высокопроизводительных компьютеров и вычислительных систем крупных американских интернет-провайдеров.

Как действовали Amazon и Apple во время расследования

Apple использовала микросхемы Supermicro в центрах обработки данных до 2013 года, а к 2013 году отношения между компаниями укрепились. Apple приобрела стартап Topsy Labs, чтобы создавать небольшие ЦОД (центр обработки данных) в крупных городах или около них. Три инсайдера Apple рассказали, что проект назывался Ledbelly и предназначался для ускорения работы Siri.

Согласно документам, которые получило Businesweek, в 2014 году Apple планировала заказать 6000 серверов Supermicro для размещения в 17 городах, ещё 4000 для уже существующих дата-центров. К 2015 году количество заказанных серверов должно было удвоиться. Ledbelly был одним из крупнейших проектов, над которыми работала Supermicro.

Специалисты по безопасности обнаружили проблемы с серверами после установки 7000 машин в сеть Apple. Компания не предоставила данные правительственным службам и не пустила их в свою сеть, поэтому степень атаки остаётся неизвестной.

Apple начала удалять микросхемы Supermicro из серверов летом 2015 года, спустя несколько недель после обнаружения шпионажа. В течение нескольких недель компания заменила все 7000 серверов. В 2016 году Apple разорвала отношения с Supermicro.

Официальные лица США предупреждали, что аппаратные средства китайских Huawei и ZTE подвергались воздействию со стороны китайских властей, но аналогичного заявления насчёт американской Supermicro не было. Вместо этого чиновники обратились к особо важным клиентам компании с предупреждением, что их данные могли быть скомпрометированы из-за жучков в оборудовании.

Amazon в сентябре 2015 года приобрела Elemental за $350 млн и планировала перенести производство чипов, материнских плат и серверов на собственные мощности, без участия Китая. Центры обработки данных AWS в Китае были построены на базе серверов Supermicro — их проверили и обнаружили измененные материнские платы, причем некоторые были модифицированы сложнее, чем выявленные ранее.

Офис Amazon Web Services в Китае. Фото Century Refinement Construction
Офис Amazon Web Services в Китае. Фото Century Refinement Construction

К примеру, чипы были достаточно тонкими и встраивались между слоями текстолита, а поверх были прикреплены другие компоненты платы. Размер чипа не превышал заостренный кончик карандаша.

Чтобы не спугнуть шпионов, Amazon разработала способ исследовать чипы и обнаруживала короткие сообщения между хакерами и модифицированными серверами, но попыток удалить данные не было. Bloomberg считает, что злоумышленники либо ждали команды о полномасштабной атаке, либо уже проникли в сеть до начала мониторинга сообщений.

В 2016 году Китай собирался принять новый закон о кибербезопасности, который развязывал руки для предоставления властям доступа к конфиденциальным данным. Amazon передала контроль над пекинским ЦОД местному партнеру Beijing Sinnet, чтобы соблюдать китайские законы. А в ноябре продала всю инфраструктуру за $300 млн и избавилась от компрометирующих серверов.

Финансовые проблемы Supermicro

Кроме потери двух крупных клиентов и обнаружения шпионских чипов, Supermicro преследовали финансовые проблемы. Компания вовремя не подала квартальные и годовые финансовые отчеты, из-за чего 23 августа 2018 года Supermicro исключили из Nasdaq. Bloomberg считает, что это необычно для компании, чей годовой доход вырос с $1,5 млрд в 2014 году до прогнозируемых $3,2 млрд в 2018 году.

Сетевая плата Supermicro. Источник: Server the Home
Сетевая плата Supermicro. Источник: Server the Home

Реакция на расследование США и Китая

В конце сентября 2015 года президент США Барак Обама и президент Китая Си Цзиньпинь на короткой пресс-конференции заключили соглашение о кибербезопасности. Китай пообещал не поддерживать кражи интеллектуальной собственности США со стороны китайских хакеров.

По информации Bloomberg, США этого было мало — правительство считало, что Китай уже разработал более продвинутые методы взлома, основанные на монополии в области производства микросхем.

Через несколько недель после подписания соглашения правительство США собрало руководителей и инвесторов технологических компаний и рассказало о недавнем нападении, предложив разработать коммерческие продукты по поиску аппаратных жучков. Поставщик оборудования не назывался, но, по словам инсайдеров Bloomberg, речь шла о Supermicro.

В заключении Bloomberg говорит о том, что проблема не только технологическая, но и идеологическая. Благодаря развитию производства микросхем в Юго-Восточной Азии со стороны США крупнейшие технологические компании смогли получить должное развитие. К примеру, Apple производила оборудование самостоятельно до 1992 года, пока не закрыла завод в Калифорнии и не перенесла производство за рубеж.

По словам Bloomberg, десятилетиями безопасность производства технологического оборудования за рубежом была основана на договорах и вере, несмотря на предупреждения властей. Считалось, что Китай не поставит под угрозу статус мирового производственного гиганта, позволив своим спецслужбам вмешиваться в дела фабрик.

На этой вере принимались решения о создании коммерческих систем — компании хотели использовать самую большую и дешёвую производственную мощность. Технологические гиганты рискнули получить много и дёшево, за что могли поплатиться.

Прошло три года. Bloomberg считает, что способ быстрого обнаружения шпионских чипов либо уже разработан, либо будет разработан в скором времени, но ресурсы на разработку есть лишь у таких компаний, как Amazon и Apple.

Реакция компаний и властей на публикацию Bloomberg

Первое расследование Bloomberg опровергают все фигуранты, за исключением тех, кто отказался от комментариев.

  • Amazon отрицает сотрудничество с ФБР, а информацию о том, что компания знала о саботаже цепи поставок и вредоносных чипах назвали «ложью». Представители Amazon заявляют, что вся информация об Elemental проверена и подтверждений о шпионских чипах и изменении аппаратного обеспечения нет. Единственные выявленные проблемы касались только ПО Supermicro, которые быстро устранили.
  • Apple опубликовала категорическое отрицание всех фактов, рассказанных Bloomberg, а также отправила в Конгресс США письмо, в котором подробно описывает каждое упоминание Apple в статье. Компания заявляет, что после каждого запроса Bloomberg в течение 2017-2018 годов проводили внутренние проверки и не находили следов взлома или уязвимостей.
  • Apple в строгой форме выразила сожаление о навыках журналистов, которые «оказались неспособны представить, что их источники могут быть неправы или обладать ложной информацией». По словам Apple, компания не находила никаких уязвимостей в Supermicro, никаких шпионских модулей, никогда не связывалась с ФБР или другими ведомствами из-за найденных проблем.
  • Также Apple предполагает, что основанием для публикации мог стать инцидент 2016 года, когда на одном из серверов Supermicro обнаружили эксплойт в драйвере и, по предположению журналистов, после этого компания отказалась от сотрудничества с производителем сетевого оборудования.
  • Supermicro также отрицает результаты расследования. Компания заявляет, что никто не разрывал отношения из-за обнаружения шпионских чипов. «Supermicro не производит сетевое оборудование, а покупает его у других производителей, как это делают другие ведущие производители хранилищ данных и серверов», — заявляют специалисты Supermicro.
  • Отрицает расследование Министерство иностранных дел КНР. По их словам, оно само страдает от проблем в цепи поставок и предлагает перейти от обвинений и подозрений к сотрудничеству и конструктивному диалогу.
  • Агентство национальной безопасности США и британская разведка заявили, что у них нет поводов сомневаться в заявлениях Apple и Amazon. 11 октября 2018 года АНБ начало поиск свидетелей, которые могли бы подтвердить информацию Bloomberg. Сейчас информация, которую передают в АНБ, исходит от людей, которые «слышали её от других людей, которые, в свою очередь тоже получили её от кого-то третьего», говорит эксперт АНБ Роб Джойс.
  • Журналисты Buzzfeed связались со своими источниками в Apple и те не смогли подтвердить историю Bloomberg.

Реакция экспертов

Консультант Bloomberg Джо Фитцпатрик

Эксперт по безопасности Джо Фитцпатрик, на которого ссылался Bloomberg в материале о шпионских чипах, отрицает содержимое статьи. В подкасте Risky Business он заявил, что издание вырвало его слова из контекста и исказило смысл.

Джо Фитцпатрик. Источник: Nag
Джо Фитцпатрик. Источник: Nag

По его словам, журналисты Bloomberg хотели узнать подробности, как устроены схемы взлома на аппаратном уровне. Фитцпатрик описал, как можно реализовать атаку с аппаратными имплантатами и рассказал о работе устройства, которое собрал для хакерской конференции Black Hat два года назад.

Теоретические предположения журналисты Bloomberg выдали за реальность, заявляет Фитцпатрик. К примеру, в сентябре у него спросили о том, как мог бы выглядеть соединитель или антенный усилитель — эксперт отправил ссылку на онлайн-магазин Mouser. В статье приведено изображение с этого сайта.

Джо Фитцпатрик на конференции Defcon. Фото: Hybridtechcar
Джо Фитцпатрик на конференции Defcon. Фото: Hybridtechcar

Также эксперт сомневается в реальности упомянутого способа взлома, так как есть более простые способы это сделать. Он отмечает, что для такого же результата проще модифицировать прошивку контроллера управления материнской платой, а вставка чипа может легко привести к его обнаружению. Логично использовать уязвимости в уже имеющихся компонентах, которые отвечают сразу за несколько функций.

Специалист по кибербезопасности Омер Шварц

Специалист по кибербезопасности в израильском университете Бен-Гурион Омер Шварц в прошлом году разрабатывал концепт уязвимости цепочки поставок, похожий на вариант в Bloomberg. В разговоре с изданием Motherboard Шварц подтвердил, что история Bloomberg правдоподобна, но нуждается в подтверждении.

Шварц хотел бы увидеть разрезанный чип или его рентген: «Это стандартная процедура анализа подозрительной микросхемы, она позволила бы понять возможности устройства».

Производитель рентгеновских аппаратов Creative Electron

Генеральный директор производителя рентгеновских аппаратов Creative Electron Билл Кардосо рассказал Motherboard о разработке технологии, которая позволяет идентифицировать подобный вид взлома микросхемы.

Проверка чипов на рентгене. Источник: Vice
Проверка чипов на рентгене. Источник: Vice

В 2016 году Creative Electron работала с коммерческой организацией по поставке рентгеновского оборудования для проверки плат. Она была оснащена системой машинного обучения, которая распознает корректные платы и обнаруживает посторонние элементы.

TechCrunch

Журналист TechCrunch Зак Уиттакер полагает, что Bloomberg находится в затруднительном положении из-за содержимого — они не могут предоставить источники и фотографии, так как они затрагивают национальную безопасность и могут повлиять на само расследование или его фигурантов.

Как Bloomberg отвечает на критику публикации

В ответ на многочисленные отказы компаний и правительства, издание продолжает настаивать на правдивости публикации.

По словам пресс-секретаря Bloomberg, Джо Фитцпатрик не был одним из анонимных источников, а его цитата использовалась в качестве гипотетического примера того, как могла бы развиваться атака при активации вредоносного чипа.

Кроме Фитцпатрика у журналистов были другие источники, которые подтвердили конкретные способы работы чипа, а информацию они получали непосредственно у тех, кто знал о скомпрометированных материнских платах Supermicro.

Представители Bloomberg считают, что о расследовании знала лишь небольшая группа людей из разных ведомств и представителей компаний. Утверждения о неточностях информации могут исходить от тех, кто попросту не знает о происходящем, так как не задействован в расследовании.

Издание The Register считает, что это правдоподобное объяснение. У компаний уровня Apple и Amazon могут быть обособленные службы безопасности, которые обнаружили шпионский чип и напрямую работали со спецслужбами.

Корпоративное разделение безопасников обеспечило буфер, который позволяет корпорациям публиковать правдивые отчеты и не ожидать снижения стоимости акций. Но так же журналисты Bloomberg могли ошибиться в технических подробностях, недостаточно хорошо проверить факты или столкнуться с дезинформацией со стороны спецслужб.

Вторая статья Bloomberg о китайской атаке на телекоммуникационную компанию США

Спустя неделю журналисты Bloomberg опубликовали вторую статью, косвенно связанную с первой — в ней также говорится о кибератаках на США со стороны КНР.

Эксперт по кибербезопасности Йосси Эпплбаум, изучавший безопасность в одной из крупнейших американских телекоммуникационных компаний, рассказал Bloomberg, что в августе 2018 года в оборудовании Super Micro нашли и удалили шпионский имплантат, который был встроен в Ethernet — сетевой разъем сервера.

Этот метод похож на описание имплантата из документов АНБ, которое попало в открытый доступ в 2013 году.

Источник: Wikipedia
Источник: Wikipedia

Один из ключевых признаков имплантата — у Ethernet-разъёма были металлические стороны вместо пластиковых. Металл рассеивал тепло от микрочипа, скрытого внутри, работающего как микрокомпьютер.

По заявлению Эпплбаума, подобные манипуляции с устройствами он видел в различных компьютерах, производимых китайскими подрядчиками, а не только в продуктах Super Micro. Он считает, что компания стала жертвой китайских спецслужб.

Эпплбоум беспокоится, что в Китае есть целые схемы в цепочке поставок, где можно внедрять шпионские чипы без возможности их обнаружения. Основная цель использования имплантатов — создание скрытой шпионской сети внутри инфраструктурных сетей.

Эксперты по национальной безопасности США в разговоре с Bloomberg признали, что в отрасли кибербезопасности выделяется мало денег на проверку оборудования на модификации. Это позволяет различным разведслужбам (в том числе американским) без особых препятствий использовать «железо» для шпионажа, а особенно преуспел в этом Китай из-за объёмов поставок.

Сетевая плата Asrock с Ethernet-портами. Источник: Server the Home
Сетевая плата Asrock с Ethernet-портами. Источник: Server the Home

Китайская разведка и службы безопасности могут получить доступ к цепочке поставок в ИТ-сфере, чтобы создавать и внедрять современные замаскированные чипы-шпионы, считает бывший глава кибербезопасности в национальной разведке США Шон Канак. Supermicro — только пример. Проблема может быть куда глубже и серьезнее

Специалист серверного рынка Патрик Кеннеди в издании Server The Home взял дополнительное интервью у Эпплбаума. Если Bloomberg выделяет сервера Supermicro в своих историях, Эпплбаум выражает уверенность, что это проблема всей отрасли, могут быть затронуты любые серверные и сетевые производители.

Йосси Эпплбаум. Кадр из видео Sepio Systems RSAC 2017 на Youtube
Йосси Эпплбаум. Кадр из видео Sepio Systems RSAC 2017 на Youtube

Он заявил, что есть два варианта: либо расследование сконцентрируется вокруг Supermicro, либо эксперты признают, что существует постоянная угроза вмешательства в цепь поставок оборудования, которая лежит в основе всей глобальной экономики в технологическом рынке.

Патрик Кеннеди убежден, что Supermicro лишь потерпевшая компания и соглашается с Эпплбаумом. По его словам, программные и аппаратные атаки на контроллеры управления материнской платы были и раньше — у каждого крупного поставщика серверов в США, Китае и других странах, а спихивать всё на одного безответственно.

К примеру, STH публиковала уязвимость iDRACula, которая позволяла хакерам получать доступ к контроллерам в устаревших серверах Dell EMC определенных поколений и взаимодействовать с ними.

В статье Bloomberg Эпплбаум ссылается не только на Supermicro: уязвимости находят не только на серверах компании, но и в другом сетевом оборудовании различных производителей, даже в обычных Ethernet-коммутаторах. Эпплбаум считает, что крупные американские бренды скомпрометированы одним и тем же методом, а Supermicro не имеет к этому никакого отношения.

Между производителем и клиентом существует цепочка поставок, в которой участвуют сотни людей, на каждом этапе может произойти что угодно. Производитель не знает, что за микросхема придёт к нему в конечном итоге.

Проблема, по словам Эпплбаума, куда глубже: при неоходимости хакеры или правительственные агенты могут модифицировать не только продукцию производителя, но и микросхемы, отвечающие за проверку микросхем на уязвимости, в результате чего жучки никогда не найдут.

Эпплбаум считает, что расследование и публикации смещены в сторону Supermicro, это совершенно неправильно — сконцентрировавшись на одном, теряется главная проблема. Кто угодно может использовать цепочки поставок технологического оборудования в своих целях. Неважно, какая страна или организация. И доверять в этой ситуации нельзя никому.

Патрик Кеннеди делает следующие выводы из всей ситуации и призывает задуматься:

  • Bloomberg проделала отличную работу, вскрыв глобальную проблему технологического рынка.
  • Проблема Supermicro — проблема всей отрасли, в обозримом будущем это повлияет на все компании, которые обеспечивают инфраструктуру и современные технологии.
  • Расследование должно доказать, что заявления компаний правдивы и нет манипуляции фондовым рынком и мнением акционеров.
  • Необходимо ещё больше внимания уделять безопасности и проверке оборудования. Технологический рынок должен измениться.

Реакция рынка на публикации

Акции Supermicro после публикации
Акции Supermicro после публикации
  • Стоимость акций Supermicro упала на 60%.
  • Стоимость Apple и Amazon упала на 1,8%.
  • Азиатские технологические компании ощутили спад: Lenovo и ZTE подешевели на 18% и 11%, причем для Lenovo это крупнейшее падение за 10 лет. Последствия для Lenovo серьезные: аналитики JPMorgan Chase&Co посоветовали сокращать покупку акций компании в ближайшие полгода, так как 75% выручки Lenovo получает за пределами Китая из которых 30% — в США.
  • Тайваньская Semiconductor Manufacturing подешевела на 1,6%.
  • 11 октября 2018 года индекс S&P 500, куда входят 500 акций американских компаний из разных отраслей, упал на 3,29% на закрытии — до $2785. Индекс NYSE FANG+, на который влияет стоимость акций 10 технологических американских и китайских компаний (Facebook, Apple, Amazon, Netflix, Google, Alibaba, Baidu, Nvidia, Tesla и Twitter), упал на 5,6%, а с начала октября — на 10%.
  • The Bell считает, что падение связано с торговой войной между Китаем и США.
Карта акций компаний, которые входят в S&amp;P 500. Причины падения — торговая война с Китаем и публикация Bloomberg.
Карта акций компаний, которые входят в S&P 500. Причины падения — торговая война с Китаем и публикация Bloomberg.

Анализ ситуации от Fortune

Журналисты Fortune проанализировали политическую и экономическую сторону доклада. Они считают, что у спецслужб был мотив для работы над подобными шпионскими чипами — любая страна хочет получать преимущество в разведданных.

Данные можно получать через интернет, но надежнее и выгоднее постоянно контролировать устройства или захватывать их с помощью аппаратных имплантатов. Китай является производственным центром множества электронных устройств и находится в выгодном положении, чтобы использовать эту возможность.

Но в то же время Китай хочет сохранить свой статус лидера производства — это основной узел экономики страны. Если китайский завод попадётся на шпионаже, это может стать национальной катастрофой, поэтому у многих экспертов возникают сомнения в реальности доклада Bloomberg.

Есть ещё одна причина, по которой мог появиться доклад — политические отношения между США и Китаем. Bloomberg говорит о том, что расследование началось ещё во время Обамы, но публикация хорошо ложится на политику Дональда Трампа, который ведет торговую войну с Китаем. Трамп обвиняет Китай в хищении интеллектуальной собственности и старается заставить технологические компании, особенно Apple, перенести производство в США.

Поэтому Fortune считает, что есть большая вероятность, что публикация Bloomberg — «дополнительные боеприпасы» в противостоянии с Китаем. И у инвесторов есть причины для беспокойства.

Несмотря на то, что Apple в истории Bloomberg фигурирует только в области серверов, которые больше не использует, давление на компанию со стороны Трампа будет продолжаться — где компания собирается производить новые устройства через несколько лет неизвестно, неопределенность негативно влияет на китайский рынок.

11 октября стало известно, что Apple за $300 млн купит часть европейского производителя микросхем Dialog Semiconductor, с которым работает ещё с первого iPhone. Также компания планирует полностью его выкупить для своих нужд. А 12 октября CultofMac сообщило о том, что тайваньская TSMC останется эксклюзивным производителем процессоров Apple в 2019 году. Возможно, что так компания постепенно отказывается от китайского производства.

Также неизвестно, как технологический скандал повлияет на остальных китайских производителей, к примеру, Lenovo, акции которой продолжают падать. У инвесторов есть страх, что если китайские военные сумели внедриться в продукцию американского производителя Supermicro, то договориться с собственными производителями им не составит большого труда.

3232
21 комментарий

У нас храбрые разведчики, у них подлые шпионы - старо как мир. Проблема этих чипов не в том, что в них закладки, а в том, что эти закладки не американские.

28
Ответить

Комментарий недоступен

Ответить

ну как говорится, у тех у кого нашли китайские, в свое время не согласились поставить американские)

Ответить

Да фигня это всё. Просто пропаганда. Американские власти не поделили что-то с китайскими и забабахали через Bloomberg на них всякую дичь. Тут дело даже не в форме, если бы Китай к примеру поставлял помидоры, в них бы нашли опасный пестицид или ещё что-то.

Увы, это задело ряд американских компаний на бирже и те быстро стали опровергать и уличили Bloomberg во вранье и непрофессионализме как минимум. Но пропагандеры не унимаются и продолжат строчить дальше, пока план сверху не сменится. Такая у них работа.

8
Ответить

Тем не менее, если верить сливу Сноудена, АНБ занимается тем же самым.

3
Ответить

Комментарий недоступен

1
Ответить

Семь бед - один ответ, очень удобно. Случается, например, очередной блэкаут с беспорядками или биржевой сбой - виноваты Китайцы, всё это, конечно, посолиднее русских хакеров и троллей, которые им президента выбрали.

1
Ответить