Supermicro i długi marsz chińskich hakerów

W 2010 roku Departament Obrony USA zorientował się, że tysiące ich serwerów Supermicro wysyłają dane z sieci wojskowej do Chin. Był to efekt działania kodu ukrytego w BIOS-ach maszyn. Cztery lata później Intel odkrył, że elitarna grupa hakerów naruszyła bezpieczeństwo jego sieci za pośrednictwem jednego z serwerów. Pobrał on złośliwe oprogramowanie pod postacią aktualizacji firmware ze strony producenta sprzętu. W 2015 roku FBI rozesłało ostrzeżenie do wielu dużych firm informując, że chińscy agenci ukryli na płytach głównych komputerów dodatkowy układ, który zachowuje się jak backdoor.

Trzy odrębne sprawy i dwie wspólne cechy. Pierwsza jest dość oczywista – Chiny. Druga budzi zdziwienie – Supermicro, producent sprzętu komputerowego z San Jose w Kalifornii. Co ciekawe, wszystkie śledczy trzymali w tajemnicy, bo chcieli poznać możliwości Chin. Zgodnie z informacją przekazaną przez 14 byłych pracowników i wywiad, chińskie działania w Supermicro były sprawdzane przez większą część ostatniego dziesięciolecia. Do tego trzeba dołożyć dochodzenie FBI, które objęło niewielką grupę pracowników amerykańskiej firmy.

Sprawa Supermicro pokazuje powszechne ryzyko w globalnych łańcuchach dostaw, powiedział Jay Tabb, były wysoki rangą urzędnik FBI, który zgodził się porozmawiać o ingerencji Chin w produkty firmy.

Nadzór nad produkcją

„Sprawa Supermicro doskonale ilustruje fakt, jak podatne są amerykańskie firmy na potencjalne modyfikacje produktów, które zdecydują się wyprodukować w Chinach”, powiedział Tabb, który był zastępcą dyrektora oddziału bezpieczeństwa narodowego FBI w latach 2018-2020. „Jest to przykład najgorszego scenariusza, który może się ziścić, jeśli nie masz pełnego nadzoru nad tym, gdzie twoje urządzenia są produkowane. Chiński rząd robi to od dłuższego czasu, a firmy muszą mieć świadomość, że to się dzieje. W szczególności Dolina Krzemowa powinna przestać udawać, że to nie ma miejsca”.

Ani Supermicro, ani żaden z jej pracowników nie został oskarżony. Byli amerykańcy urzędnicy, którzy są źródłem informacji o tej sprawie, podkreślili, że sama firma nie była celem dochodzenia kontrwywiadowczego. Cała historia oparta jest na wywiadach z ponad 50 osobami z organów ścigania, wojska, Kongresu, agencji wywiadowczych i sektora prywatnego. Większość poprosiła o niepodawanie nazwiska, ale niektóre szczegóły mają potwierdzenie w dokumentach korporacyjnych.

Apple i Amazon

Pierwsze informacje w sprawie przekazał Bloomberg Businessweek w październiku 2018 w artykule, który opisywał problem złośliwych układów znalezionych na płytach głównych serwerów w 2015 roku. Według ówczesnej wiedzy dziennikarzy, Apple i Amazon odkryły dodatkowe elementy na płytach głównych w serwerach, które pochodziły od Supermicro. Wtedy wszystkie trzy firmy zażądały wycofania tekstu. Dziś jest jasne, że tamta sprawa była tylko odpryskiem wielokrotnie większego problemu. Przez cały czas urzędnicy ukrywali swoje ustalenia przed opinią publiczną, a sama firma nigdy się nie dowiedziała o śledztwie prowadzonym w jej sprawie.

Nie dało się jednak wszystkiego ukryć, bo sprawa zataczała coraz większe kręgi. „Na początku 2018 r. dział kontrwywiadu FBI skontaktował się z dwoma firmami, którym doradzam w sprawach cyberbezpieczeństwa. Badał on odkrycie dodatkowych elementów na płytach głównych Supermicro”, powiedział Mike Janke, były Navy SEAL, który współtworzył venture capital DataTribe. „Te dwie firmy były potem zaangażowane w dochodzenie rządowe, do którego używano sprzętu zaawansowanego kryminalistycznie. Chodziło o zbadanie egzemplarzy płyt głównych Supermicro, w celu potwierdzenia istnienia złośliwych układów”.

Rząd o tym wie

Janke powiedział, że obie firmy nie mogą mówić publicznie o tej pracy, ale zgodził się omówić ich ustalenia. Chodzi o podniesienie świadomości zagrożenia chińskim szpiegostwem w ramach łańcuchów dostaw. „To prawda”, powiedział Janke, „i rząd o tym wie”.

W 1993 roku tajwański imigrant Charles Liang założył Supermicro. Wiele płyt głównych Supermicro i elementów obsługujących nowoczesną elektronikę wyprodukowali podwykonawcy w Chinach, a następnie zamontowali w serwerach w USA i innych krajach. Firma, która w zeszłym roku zarobiła 3,3 miliarda dolarów informuje, że jej sprzęt komputerowy stał się praktycznie wszechobecny. Jednocześnie w maju 2019 roku inwestorzy dowiedzieli się, że sieć komputerowa Supermicro była wielokrotnie penetrowana w latach 2012-2018 przez nieznanych sprawców. Firma informowała wtedy, że „żadne z tych włamań, indywidualnie lub łącznie, nie miało istotnego negatywnego wpływu na naszą działalność lub produkty”. Niestety nie znamy szczegółów, bo Supermicro odmówiło komentarza.

Urzędnicy federalni mieli obawy w kwestii dominującej roli Chin w globalnej produkcji elektroniki, zanim produkty Supermicro zwróciły większą uwagę rządu USA.

Wcześniej, w 2008 roku, śledczy zaczęli bacznie obserwować Lenovo Group, dostawcy sprzętu dla Pentagonu. W trakcie dochodzenia okazało się, że jednostki wojskowe w Iraku używały laptopów Lenovo, w których zmodyfikowano hardware.

Laptopy dla armii

„Duża liczba laptopów, które zakupiła armia USA, miała ukryty na płycie głównej układ rejestrujący dane wprowadzane na komputerze i wysyłający je do Chin”, mówi Lee Chieffalo, który zarządzał centrum operacji sieciowych Korpusu Piechoty Morskiej Stanów Zjednoczonych w pobliżu Fallujah w Iraku. „To było poważne naruszenie bezpieczeństwa. Nie mamy pojęcia, ile wypłynęło danych, ale musieliśmy usunąć te wszystkie komputery z sieci”. Trzech byłych amerykańskich urzędników potwierdziło informacje Chieffalo.

Lenovo nie wiedziało o zeznaniach, a amerykańskie wojsko nie poinformowało firmy o jakichkolwiek obawach dotyczących bezpieczeństwa produktów, stwierdziła w mailu Charlotte West, rzeczniczka firmy. Jednak Departament Obrony po cichu zablokował stosowanie sprzętu tej firmy w kilku ważnych projektach. Aby dodać sprawie pikanterii, Siły Powietrzne i Armia USA w 2018 zakupiły sprzęt Lenovo o wartości 2,2 mln dolarów. Rok później transakcję skrytykował Pentagon, powołując się w raporcie na „znane problemy z bezpieczeństwem”.

Supermicro w Pentagonie

Na początku 2010 roku zespół bezpieczeństwa Pentagonu zauważył nietypowe zachowanie serwerów Supermicro w swoich sieciach. Byli amerykańscy urzędnicy twierdzą, że tysiące serwerów w Departamencie Obrony zbierały dane o maszynach oraz infrastrukturze i wysyłały je do Chin. W trakcie dochodzenia amerykańscy śledczy znaleźli nieautoryzowany kod w części sekwencji startowej serwerów. Ustalili, że zmiany wprowadzili ludzie związani z Supermicro. Pentagon znalazł zmodyfikowany BIOS w tysiącach serwerów, powiedział jeden z urzędników. Inny opisał go jako „wszechobecny”. Śledczy doszli do wniosku, że źródłem były chińskie agencje wywiadowcze, a emerytowany wysoki rangą urzędnik Pentagonu potwierdził, że nie ma co do tego wątpliwości. Nie ma dowodów, że wykradano dane o operacjach wojskowych, ale atakujący na pewno zyskali coś wartościowego. Mapę większej części sieci Departamentu Obrony. Analitycy obawiali się również, że modyfikacja może być rodzajem broni, która w czasie konfliktu wyłączyłaby te serwery.

W 2013 roku USA postanowiło, że nie będą informować o sprawie, zanim nie odkryją celu Chińczyków. Jednocześnie Pentagon wprowadził środki zaradcze, które miały chronić sieć przed penetracją. Urzędnicy postarali się również, aby nie używać sprzętu Supermicro we wrażliwych elementach infrastruktury. Co dziwne, firma pozostała nadal na liście dostawców zatwierdzonych przez administrację.

Płyta z dodatkiem

Do 2014 roku śledczy w całym rządzie USA szukali dodatkowych form manipulacji – wszystkiego, co mogli wcześniej przegapić, jak ujął to jeden z byłych urzędników Pentagonu. W ciągu kilku miesięcy, posługując się informacjami dostarczonymi przez amerykańskie agencje wywiadowcze, FBI znalazło inny rodzaj zagrożenia. Układy scalone dodane do płyt głównych Supermicro.

Chińscy agenci modyfikowali produkty Supermicro, umieszczając na płytach głównych dodatkowe układy zawierające złośliwy kod. Nie wiemy, jak dużo takich zmian miało miejsce. Pewne jest jednak, jakie zadanie miało ukryte w nich oprogramowanie. Otworzyć wejście dla chińskich hakerów i wysłać informację o tym fakcie. Urzędnicy, zaniepokojeni wyrafinowaniem ataku, zdecydowali się ostrzec niewielką liczbę potencjalnych celów podczas konferencji, na których wprost mówiono o sprzęcie Supermicro. Kierownictwo 10 firm i jednego dużego przedsiębiorstwa komunalnego przekazało Bloomberg News, że otrzymali takie informacje.

Mike Quinn, dyrektor ds. cyberbezpieczeństwa, który zajmował wysokie stanowiska w Cisco Systems i Microsoft przyznał, że informację o dodatkowych elementach na płytach głównych Supermicro otrzymał od ludzi z US Air Force.

„To nie był przypadek faceta, który ukradł płytę główną i wlutował chip w swoim pokoju hotelowym. Ten element tak zaprojektowano w czasie produkcji”, powiedział Quinn, przywołując szczegóły dostarczone przez urzędników. „Napastnicy wiedzieli, jak zaprojektowano tę płytę oraz że po modyfikacji przejdzie ona testy jakości i bezpieczeństwa”.

Odpowiadając pisemnie na pytania, przedstawiciel Supermicro stwierdził, że żaden klient lub agencja rządowa nigdy nie poinformowały firmy o odkryciu dodatkowych układów w swoim sprzęcie. Dodał również, że „nigdy nie znaleźli takich elementów, nawet po zaangażowaniu podmiotów do przeprowadzenia niezależnego dochodzenia”. Nie odpowiedział jednak na pytanie o to, kto wybrał próbki do badań.

Aktualizacje firmware

Śledczy odkryli też kolejny sposób, w jaki chińscy hakerzy wykorzystywali produkty Supermicro. W 2014 roku kierownictwo firmy Intel wykryło naruszenie bezpieczeństwa w swojej sieci po pozornie rutynowej aktualizacji oprogramowania układowego, pobranej ze strony internetowej Supermicro. Dochodzenie korporacyjne wykazało, że chińska grupa hakerów zmodyfikowała portal aktualizacji oprogramowania układowego Supermicro. Złośliwy kod dołączono do całkowicie niewinnego archiwum, a wyznaczone serwery pobrały go. Złośliwe oprogramowanie otwierało tylne drzwi i komunikowało się z napastnikami.

W odpowiedzi na pytania dotyczące incydentu rzeczniczka Intela powiedziała, że wykryto go bardzo szybko i nie spowodował utraty danych. Informatycy firmy ustalili, że napastnikami była grupa znana jako APT 17. Sam mechanizm był podobny do tego, którego użyto w głośnym ostatnio ataku na SolarWinds, ale różnił się jedną kluczową cechą. W przypadku Intela chodziło o bardzo konkretne serwery, a w tym przeprowadzonym przez Rosjan kod trafił do 18.000 użytkowników. Intel poinformował o sprawie Supermicro, ale ta nie odpowiedziała na szczegółowe pytania dotyczące dalszych działań.

„Opowieść o przypadkach Supermicro mrozi krew w żyłach i jest pobudką dla branży”, powiedział Frank Figliuzzi, który do 2012 roku był zastępcą dyrektora FBI do spraw kontrwywiadu. Odmówił zajęcia się konkretami, ale zgodził się publicznie mówić o konsekwencjach historii Supermicro.

„Jeśli uważasz, że wydarzyło się to tylko w jednej firmie, nawet nie wiesz, jak się mylisz”, powiedział.

Źródło: Bloomberg