В 2015 году Amazon.com Inc. начала понемногу прицениваться к стартапу под названием Elemental Technologies – потенциальному приобретению, которое помогло бы в расширении потокового видеосервиса, известного сегодня как Amazon Prime Video. Основанная в Портленде, штат Орегон, компания Elemental создала программное обеспечение для сжатия массивных видеофайлов и подгонку их под разные устройства. Эта технология помогала стримить Олимпийские игры в режиме онлайн, выходить на связь с Международной космической станцией и передавать кадры с дронов в Центральное разведывательное управление.
Государственные контракты Elemental не были основной причиной предполагаемого приобретения, но они прекрасно сочетались с государственными проектами Amazon, такими как облачный сервис с высокой степенью безопасности, который в Amazon Web Services (AWS) создавали для того же ЦРУ.
По словам одного из участников сделки, в процессе проверки объекта инвестирования AWS, которая контролировала предполагаемое приобретение, наняла стороннюю компанию для тщательной проверки безопасности Elemental. В ходе первой проверки обнаружились проблемы, которые побудили AWS внимательнее рассмотреть основной продукт Elemental: дорогие серверы, которые покупатели установили в своих сетях для обработки сжатия видео. Эти серверы были собраны для Elemental компанией Super Micro Computer Inc. из Сан-Хосе (более известной как просто Supermicro), также являющейся одним из крупнейших поставщиков серверных материнских плат, кластеров чипов и конденсаторов на стекловолокне, которые действуют как нейроны дата-центров. В конце весны 2015 года сотрудники Elemental объединили несколько серверов и отправили их в Онтарио для тестирования независимыми экспертами по безопасности.
Фото: bloomberg.com
Эксперты обнаружили, что на эти материнские платы установлены крошечные микрочипы, не больше рисового зернышка, которые явно не были частью оригинального дизайна. Amazon сообщила об открытии властям США, заставив разведсообщество США содрогнуться. Серверы Elemental можно было найти в центрах обработки данных Министерства обороны, на беспилотниках ЦРУ и бортовых сетях военных кораблей ВМФ. И стартап Elemental был всего лишь одним из сотен клиентов Supermicro.
Серверы Elemental можно было найти в центрах обработки данных Министерства обороны, на беспилотниках ЦРУ и бортовых сетях военных кораблей ВМФ
В ходе повторного секретного анализа, длившегося более трех лет, следователи определили, что чипы позволяли создать тайный лаз в любую сеть, которую поддерживало «зараженное железо». Согласно утверждениям заинтересованных сторон, исследователи обнаружили, что чипы были установлены на фабриках субподрядчиков в Китае.
Эта атака была чем-то более серьезным, чем инциденты с программным обеспечением, к которым мир уже привык. Аппаратные взломы сложнее выявить, и потенциально они более разрушительны. Так как дают скрытый долгосрочный доступ к сетям, ради которого шпионские агентства готовы тратить миллионы долларов и кучу лет работы.
У шпионов есть два способа «заразить» компьютерную технику. Один, известный как interdiction (удерживание), состоит в манипулировании устройствами, пока они находятся в пути от производителя к клиенту. Этот подход, если верить документам, слитым бывшим сотрудником Агентства национальной безопасности Эдвардом Сноуденом, предпочитают шпионские агентства США. Другой метод заключается во внесении изменений в «железо» с самого начала.
И есть в мире одна страна, которая имеет огромное преимущество в осуществлении подобных атак – Китай, который по некоторым оценкам производит 75% мобильных телефонов и 90% компьютеров в мире. Впрочем, чтобы совершить такую атаку, необходимо глубокое знакомство с конструкцией продукта, возможность манипулирования компонентами на заводе и уверенность в том, что многочисленные проверки по всей логистической цепочке ничего не обнаружат. Этот подвиг сродни броску палки в реку Янцзы в районе Шанхая с гарантией того, что ее прибьет к побережью в Сиэтле.
Обнаружить качественный, выполненный на государственном уровне имплант на таком «железе» – это все равно, что увидеть, как единорог прыгает через радугу
«Обнаружить качественный, выполненный на государственном уровне имплант на таком «железе» – это все равно, что увидеть, как единорог прыгает через радугу, – утверждает аппаратный хакер и основатель Grand Idea Studio Inc Джо Гранд. – Поверить в это не проще, чем в черную магию».
Но именно это и обнаружили американские следователи: чипы были установлены на платы оперативниками из подразделения Народно-освободительной армии прямо во время производственного процесса. В лице Supermicro китайские шпионы, похоже, нашли идеальный канал для самой, по словам официальных лиц США, значительной атаки на цепи поставок американских компаний в истории.
По данным наших источников, следователи обнаружили, что в конечном итоге атака затронула почти 30 компаний, в том числе один крупный банк, правительственных подрядчиков и самую дорогую компания в мире. Apple Inc. была крупным клиентом Supermicro и планировала заказать у них более 30 тыс. серверов для новой глобальной сети дата-центров. Сразу трое наших источников в Apple утверждают, еще летом 2015 года компания обнаружила в продукции Supermicro вредоносные чипы. И уже к 2016 году разорвала с ней всякое сотрудничество по неназванным тогда причинам.
В своих письмах по электронной почте и Amazon (которая объявила о приобретении Elemental в сентябре 2015 года), и Apple, и Supermicro оспорили выводы из материалов Bloomberg Businessweek.
«Неправда, что AWS знал об опасности для цепи поставок, проблеме с вредоносными чипами или другими аппаратных модификациями при приобретении Elemental», – пишет Amazon.
«Мы можем сказать прямо: Apple никогда не находила вредоносных чипов, «аппаратных манипуляций» или уязвимостей, специально установленных на какой-либо сервер», – пишет Apple.
«Мы по-прежнему не подозреваем о таком расследовании», – написал представитель Supermicro Перри Хейс.
Китайское правительство не отреагировало на непосредственно вопросы о манипулировании серверами Supermicro, выпустив заявление, в котором, в частности, говорилось: «Безопасность цепи поставок в киберпространстве является проблемой, представляющей общий интерес, а Китай также является жертвой».
ФБР и Аппарат директора Национальной разведки, представляющий ЦРУ и АНБ, отказались от комментариев.
Китай производит 75% мобильных и 90% компьютеров в мире
Эти заявления опровергают шесть ныне бывших высокопоставленных сотрудников национальной безопасности, которые утверждают, что история с обнаружением чипов и правительственным расследованием начались еще при администрации Обамы и продолжается при администрации Трампа.
Один из этих сотрудников и два человека из AWS предоставили обширную информацию о том, как именно нападение отразилось на Elemental и Amazon. Двое инсайдеров также рассказали о кооперации Amazon с правительственным расследованием. В дополнение к трем представителям Apple четыре из шести чиновников США подтвердили, что Apple тоже стала жертвой атаки. В целом, 17 человек подтвердили факт манипуляций с аппаратными средствами Supermicro и прочие детали атаки. Источникам была предоставлена анонимность из-за чувствительного и, в некоторых случаях, секретного характера информации. По мнению одного из инсайдеров, целью Китая являлся долгосрочный доступ к ценным корпоративным секретам и правительственным сетям. Персональные данные украдены не были.
Предполагаемые последствия атаки продолжают устанавливаться. Администрация Трампа сделала компьютерное и сетевое оборудование, в том числе и материнские платы, центральной темой последнего раунда торговых санкций против Китая. А официальные лица Белого дома дали понять, что теперь они ожидают от компаний переноса цепей поставок в другие страны. Такие экстренные меры могут удовлетворить чиновников, которые годами предупреждали о небезопасности цепей поставок, хоть они и не раскрывали причин своих опасений.
Целью Китая являлся долгосрочный доступ к ценным корпоративным секретам и правительственным сетям. Персональные данные украдены не были
Еще в 2006 году у трех инженеров из Орегона возникла хорошая идея. Спрос на мобильное видео вот-вот должен был резко возрасти. Они понимали, что вещатели будут отчаянно нуждаться в том, чтобы преобразовывать программы, предназначенные для размещения телевизионных экранов, в различные форматы для просмотра на смартфонах, ноутбуках и прочих устройствах. Чтобы удовлетворить ожидаемый спрос, инженеры создали Elemental Technologies, собрав то, что один бывший советник компании назвал гениальной командой, чтобы написать код, который бы адаптировал сверхбыстрые графические чипы для высокопроизводительных видеоигр. Полученное программное обеспечение значительно сократило время, затрачиваемое на обработку больших видеофайлов. Затем Elemental загрузил программное обеспечение на серверы, украшенные зелеными логотипами компании.
По словам бывшего сотрудника компании, серверы Elemental продаются по цене до 100 тыс. долларов при рентабельности до 70%. Среди первых клиентов Elemental была мормонская церковь, которая использовала эту технологию для распространения проповедей в конгрегациях по всему миру, и представители индустрии кино для взрослых, которые этого не делали.
Elemental также начали работать с американскими шпионскими агентствами. В 2009 году компания объявила о партнерстве с In-Q-Tel Inc., инвестиционным подразделением ЦРУ. Эта сделка проложила путь серверам Elemental в систему национальной безопасности США. Публичные документы, в том числе собственные рекламные материалы компании, показывают, что серверы использовались в центрах обработки данных Министерства обороны для обработки записей дронов и камер видеонаблюдения на военных кораблях ВМС, и внутри правительственных зданий, чтобы обеспечить безопасную видеоконференцию. НАСА, обе палаты Конгресса и Департамент внутренней безопасности также были клиентами. Такое портфолио сделало Elemental целью для иностранных шпионов.
Supermicro был очевидным выбором для создания серверов Elemental. Компания с штаб-квартирой, расположенной к северу от аэропорта Сан-Хосе на пыльном шоссе Interstate 880, была основана Чарльзом Ляном, тайваньским инженером, который учился в аспирантуре в Техасе, а затем переехал на запад и в 1993 году основал Supermicro со своей женой. Силиконовая долина давала немало преимуществ, а Supermicro прокладывала путь от тайваньских, а затем китайских, заводов к американским потребителям. Лян сделал ход конем – материнские платы Supermicro разрабатываются в Сан-Хосе, поближе к крупнейшим клиентам компании, даже если производятся за рубежом.
Сегодня Supermicro продает больше серверных плат, чем почти все остальные компании вместе взятые. Она также доминирует на рынке плат, используемых в специализированных компьютерах, от МРТ-машин до оружейных систем, объемом в $1 млрд. Ее материнские платы можно найти в серверах, сделанных по заказу банков, хедж-фондов, поставщиков облачных сервисов, услуг веб-хостинга и не только.
Supermicro собирает свою продукцию в Калифорнии, Нидерландах и Тайване, но ее материнские платы – основной продукт – почти все изготовлены подрядчиками в Китае. Основной «фишкой» компании стала непревзойденная индивидуализация продукции под конкретного клиента, ставшая возможной благодаря сотням инженеров на полной ставке, обслуживающих обширный каталог из более 600 проектов. Большая часть рабочих в Сан-Хосе – тайваньцы и китайцы. Шесть бывших сотрудников компании утверждают, что предпочтительный язык на предприятии – мандаринский, а вайтборды заполнены иероглифами. Каждую неделю в офис привозят китайскую выпечку, а «летучки» часто проводятся дважды, сначала для англоговорящих сотрудников, а потом на мандаринском. По словам очевидцев, вторые намного продуктивнее первых.
Фото: bloomberg.com
Зарубежные связи и широкое использование мандаринского могли упростить Китаю получение информации о деятельности Supermicro и потенциальное проникновение в компанию. (Американский чиновник говорит, что следствие все еще устанавливает, были ли «засланные казачки» внутри Supermicro или других американских компаний).
С более чем 900 клиентами в 100 странах к 2015 году Supermicro давала прекрасные возможности для атаки на целый ряд чувствительных целей.
«Подумайте о Supermicro как о Microsoft в мире аппаратного обеспечения, – говорит бывший сотрудник разведки США, изучавший Supermicro и ее бизнес-модель. – Атака на материнские платы Supermicro – это как атака на Windows. Это как нападение на весь мир».
Как происходил взлом:
Китайские военные разработали и создали микрочип размером с кончик наточенного карандаша. Некоторые из чипов были замаскированы под соединители для формирования сигнала. Их памяти, сетевых и вычислительных возможностей было достаточно для атаки.
Микрочипы были установлены на китайских фабриках, работавших с Supermicro, одним из крупнейших в мире продавцов серверных материнских плат.
«Зараженные» материнские платы были встроены в серверы, собранные Supermicro.
«Зараженные» серверы попали в дата-центры десятков компаний.
Когда сервер был установлен и включен, микрочип влиял на ядро операционной системы, чтобы она могла принять изменения. Чип также мог обращаться к компьютерам, контролируемым злоумышленниками, в поисках дальнейших инструкций и кода.
Продолжение истории «Большого взлома» читайте по ссылке.
