Той е по-малък от върха на подострен молив, но има потенциала да нанесе огромни щети по гигантите на световната технологична индустрия. Миниатюрен чип, способен да пробие сигурността на сървърите, в чиито дънни платки е внедрен тайно, е най-новото оръжие в кибервойната от двете страни на Тихия океан.
"Блумбърг" публикува мащабно разследване, което твърди, че китайското военно разузнаване стои зад въпросната хардуерна атака, а сред поразените компании са Amazon и Apple.
Както Amazon, така и Apple отричат категорично да са знаели за подобен проби и да са сътрудничили на ФБР за разследването на предполагаемия зловреден хардуер. От Apple твърдят, че преди пускането на сървърите в мрежите на компанията, всеки от тях е проверяван за уязвимости в сигурността, като се ъпдейтват редовно с най-новите firmware- и софтуерни версии.
Медията обаче се позовава на множество собствени източници - вътрешни лица от технологичните гиганти, както и бивши и настоящи високопоставени служители на разузнаването, които потвърждават за съществуването на тази атака.
Не по-голям от зрънце ориз
През 2015 г. Amazon започва да прави тайна оценка на възможността за придобиване на стартъпа Elemental Technologies - сделката би помогнала за огромната експанзия на компанията към услугите за видео-стрийминг, т.е. днешния Amazon Prime Video.
Elemental е базирана в Портланд, Орегон, и прави софтуер за компресиране на тежки видеофайлове и преформатирането им за различни устройства. Технологиите им се използват за онлайн-излъчванията на Олимпийските игри, за комуникация с Международната космическа станция и за изпращането на разузнавателни снимки от дронове към ЦРУ.
Договорите на компанията със службите за национална сигурност не са единствената причина за планираното придобиване, но се вписват добре в политиката на Amazon за работа с държавната администрация - например, строго секретната облачна услуга, която Amazon Web Services (AWS) изгражда за ЦРУ.
За да помогне с надлежната проверка, AWS наема трета компания за оценка на степента на сигурност на Elemental, твърди "Блумбърг", като се позовава на човек, запознат с процедурата. Първият опит разкрива притеснителни проблеми, които карат ръководството на AWS да прегледа по-внимателно основния продукт на Elemental - скъпите сървъри, които потребителите инсталират в мрежите си за справяне с видео-компресирането.
Въпросните сървъри се сглобяват за Elemental от Super Micro Computer Inc. (Supermicro) - компания в Сан Хосе, която е един от най-големите доставчици на сървърни дънни платки в света. В късната пролет на 2015 г. екипът на Elemental опакова няколко сървъра и ги изпраща в базата на канадска компания за сигурност, която трябва да тества техниката.
Специалистите по сигурността обаче откриват нещо странно в дънните платки на сървърите - почти незабележим микрочип, не по-голям от зрънце ориз, който не присъства в оригиналния дизайн на платките. Amazon докладва на американските власти за открития неизвестен елемент, което кара разузнавателната общност да се притесни. Сървъри на Elemental се ползват в дейта-центровете на Министерството на отбраната, в звената за управление на безпилотни летателни апарати на ЦРУ и в мрежите на бойните кораби на ВМС. А Elemental е само един от стотиците клиенти на Supermicro.
Разследващите установяват, че чиповете са осигурявали възможност на предполагаеми хакери да отворят невидима "врата" към всяка мрежа, ползваща манипулираните сървъри. "Блумбърг" цитира "множество хора, запознати с проблема", според които разследването е стигнало до китайска връзка в пробива. Според тях - микрочиповете са поставени в платките във фабрики, управлявани от производствени подизпълнители в Китай.
Чиповете в сървърите на Elemental са проектирани така, че да бъдат колкото се може по-незабележими, твърдят източниците на "Блумбърг". Те приличат по-скоро на сигнални конвертори, отколкото на микрочипове, затова е трудно да бъдат засечени без специализирано оборудване.
Според източниците на разследването - имплантите манипулират вътрешните оперативни команди, по които сървърът работи, докато данните се местят по дънната платка. Това се случва в специфичен момент, в който малки части от операционната система се съхраняват във временната памет на платката по пътя към централния процесор на сървъра. Зловредният чип е поставен върху платката така, че да дава възможност за "редакция" на потока от информация, в който може да се вкарва собствен код или да се променя реда на команди, които процесорът трябва да изпълни.
В някои случаи намерените зловредни чипове са били толкова миниатюрни, че са открити втъкнати между пластовете фибростъкло, върху което се закрепват останалите компоненти.
Размерът на чипа ограничава и размера на съдържащия се в него код, но все пак той може да прави две важни неща - да нарежда на сървъра да си комуникира с външни устройства (заредени с по-комплексен код) и да подготви операционната система на машината за приемането на новия код - например, да не проверява за пароли или да предоставя достъп до ключовете за криптиране.
По следите на шпионския чип
За разлика от софтуерните атаки - хардуерните манипулации оставят физически следи. Платките имат серийни номера, които водят към конкретна фабрика. Когато службите за сигурност в САЩ получават сигнала за нередност, тръгват обратно по веригата за доставки на Supermicro.
По това време компанията работи с 3 основни подизпълнители, които създават дънни платки - два от тях в Тайван и един в Шанхай. При по-големи доставки те понякога прехвърлят работата си на други подизпълнители. След разузнаване и проследяване на подозрителни лица, службите за сигурност стигат до четири производствени бази.
Според разследването - при управителите на заводите биват пращани лица, които твърдят, че представляват Supermicro или някаква държавна служба. Посредниците настояват да се направят модификации в оригиналния проект за дънните платки - включително предлагат подкупи за приемането на необичайното им искане. Когато договорката се осъществи, посредниците организират доставката на чиповете до фабриките.
Следователите стигат до извода, че схемата е създадена от звено за хардуерни атаки на китайската армия. Съществуването на това звено не е разкривано досега, но се смята, че то се занимава само с цели от висок приоритет. "Блумбърг" твърди, че през 2015 г. Пентагонът е организирал среща, на която са поканени няколко десетки технологични мениджъри и инвеститори. Съобщено им е, че е засечена атака, и е поискано от тях да помислят дали могат да разработят продукти за засичане на хардуерни импланти.
Източниците на "Блумбърг" твърдят още, че Supermicro се е оказал перфектния инструмент за "най-сериозната разкрита атака по веригата за доставки, която е изпълнена срещу американски компании".
Един от цитираните разузнавачи смята, че атаката е засегнала почти 30 компании, сред които голяма банка, държавни подизпълнители и най-скъпо оценената компания в света - Apple.
Apple е важен клиент на Supermicro и е планирала да поръча над 30 000 сървъра през следващите 2 години за новата си глобална мрежа от дейта центрове. "Блумбърг" цитира трима души - вътрешни лица за Apple - според които самата компания е установила наличието на зловредни чипове в дънните платки на Supermicro през лятото на 2015 г. Година по-късно Apple прекратява отношенията си с компанията по причини, за които твърди, че не са свързани с подобен случай.
Всички тези твърдения са отречени категорично както от страна на AWS, така и от страна на Apple.
"Не е вярно, че AWS е имал информация за пробив във веригата за доставки, проблем със зловредни чипове или хардуерни модификации при придобиването на Elemental", се казва в позиция на Amazon.
"По този въпрос можем да бъдем много ясни: Apple никога не е намирал зловредни чипове, "хардуерни манипулации" или уязвими елементи, умишлено внедрени в който и да е сървър", пишат от Apple.
Говорител на Supermicro твърди, че в компанията не са запознати с подобно разследване. Китайското правителство също излезе с обща позиция, в която се казва, че "Сигурността на веригата за доставки в киберпространството е проблем от взаимна тревога, а Китай също е жертва".
Нито ФБР, нито офисът на директора на Националното разузнаване на САЩ не желаят да коментират случая.
Опроверженията на компаниите обаче се оспорват от "шестима настоящи и бивши висшестоящи служители от националната сигурност", които описват в подробности разкриването на чиповете и разследването. Още двама анонимни източници от AWS потвърждават как се е случила атаката и как Amazon е съдействал на службите. Трима вътрешни източници и четирима от шестимата бивши/настоящи разузнавачи твърдят, че Apple е бил сред жертвите на атаката.
Общо 17 души потвърждават за манипулацията в хардуера на Supermicro и за други елементи от атаките. Всички източници са със скрита самоличност заради чувствителния и секретен характер на информацията, пише "Блумбърг".
Няма данни за поражения върху личната информация на частни потребители, но на национално ниво последиците от атаката продължават да се проявяват. Администрацията на Доналд Тръмп включи компютърното и мрежово оборудване в последния си списък със стоки, подлежащи на специални мита при вноса от Китай. Белият дом дава сигнали към компаниите за постепенна промяна на доставчиците от Китай към други страни.
Проблемът не е само технологичен, но и стратегически - голяма част от най-големите технологични компании в Америка не поддържат производствени бази на територията на САЩ заради евтиния китайския натиск в електрониката. Въпреки предупрежденията от службите за сигурност, сигурността по веригата за доставки на хардуер се крепи на доверие. Формира се мнението, че Китай не би вкарал шпиони във фабриките си, защото ще компрометира позицията си като световен лидер в производството.
Дилемата пред технологичните гиганти е ясна: повече сигурност срещу много по-скъпа цена, или евтини доставки срещу риск от пробиви. Всички компании приемат второто предложение.