Китайский кибершпионаж против США

Издание Bloomberg Businessweek опубликовало историю, которая тянет на один из крупнейших киберскандалов последних лет. Расследование показало, что Китай на протяжении нескольких лет вживлял в материнские платы, предназначавшиеся для крупных государственных и коммерческих структур в США, крошечные чипы, используемые для шпионажа. По данным издания, жертвами этой атаки оказались американские технологические гиганты, включая Apple и Amazon, спецслужбы, военные и правительственные ведомства.

Китайские микрочипы, согласно расследованию, обнаружились в материнских платах компании Super Micro Computer (больше известна как Supermicro). Ее штаб-квартира расположена в Сан-Хосе (Калифорния), но компания активно работает с производителями из Китая, будучи одним из крупнейших в мире поставщиков материнских плат для серверов. К 2015 году, когда следы шпионажа были обнаружены, у компании было более 900 клиентов в 100 странах.

Упомянутые в материале компании и ведомства опровергли изложенную в нем информацию, однако уже после публикации всплыли новые данные о китайской кибератаке. Свидетельства предоставил эксперт по безопасности Йосси Эпплбаум. Ранее он служил в Разведывательном корпусе израильской армии, а ныне занимает пост заместителя директора компании Sepio Systems, специализирующейся на компьютерной безопасности. Sepio Systems получила контракт на проверку крупных дата-центров одной телекоммуникационной компании, название которой не называется: Эпплбаум подписал договор о неразглашении конфиденциальной информации. Эксперты Sepio Systems обнаружили подозрительную активность сервера Supermicro, и последующий осмотр оборудования показал, что в Ethernet-коннектор сервера встроен имплант. Через Ethernet-коннекторы к компьютеру подсоединяются сетевые кабели.

По словам Эпплбаума, он уже имел дело с подобными случаями, когда в компьютеры заказчика китайские подрядчики встраивали чужеродные элементы, и речь идет не только о продуктах Supermicro. «Supermicro — это жертва, как и все остальные», — говорит Эпплбаум. По его словам, в цепочке поставок из Китая есть множество возможностей произвести подобные манипуляции, и исключить их все просто невозможно. В этом главная проблема китайских товаров, отмечает Эпплбаум.

Способ, обнаруженный Эпплбаумом, отличается от метода установки шпионского оборудования, о котором Bloomberg Businessweek сообщал ранее. Но цели у киберпреступников те же: получить доступ к компьютерной сети, к которой подключен сервер. И еще одна деталь: шпионские устройства устанавливались на заводе субподрядчика Supermicro, где производились материнские платы.

Манипуляции с оборудованием очень трудно распознать, поэтому разведслужбы тратят на борьбу с подобным саботажем миллиарды долларов. О способах электронной слежки и несанкционированной прослушки, которые вели спецслужбы США через свои шпионские устройства, известно хорошо, о них еще в 2013 году рассказал бывший специалист-аналитик Агентства национальной безопасности США Эдвард Сноуден.

Но у Китая свои методы. Как выяснили специалисты Sepio, начиненный шпионским оборудованием сервер Supermicro в сети был двумя устройствами в одном. Сам сервер передавал данные одним образом, а имплант — другим, но при этом система определяла, что весь трафик исходит от сервера. Благодаря этому информация и проходила через фильтры безопасности.

Эпплбаум рассказал об одном из ключевых признаков наличия вредоносного чипа: тот Ethernet-коннектор, на который он был установлен, имел металлическую оболочку вместо обычной пластиковой. Металл необходим для отвода тепла от импланта, который представляет собой мини-компьютер.

«Все аппаратные закладки крайне сложно обнаружить, — пояснила “Стимулу” директор по консалтингу ГК “ИнфоВотч” Мария Воронова. — Снизить риски нахождения подобного оборудования в технике можно в момент приемки — организовать приемочные проверки и тестирования, но это достаточно дорогостоящая процедура, не многие компании, особенно те, которые закупают компьютерную технику в больших объемах, на это идут. Обнаружить закладку обычному пользователю крайне сложно. Помимо приемочных тестирований и испытаний, которые являются наиболее эффективными способами, возможно выявить закладку по таким факторам, как задержка в работе устройства, увеличение загрузки производительности в то время, когда компьютер находится в покое».

Для мира бизнеса подобный вид шпионажа не характерен, поскольку он очень сложный. «В мире кибербезопасности, — говорит Мария Воронова, — действует правило: цель должна оправдывать средства. Возможно, установка закладок в оборудование может быть материально оправданна для злоумышленников при реализации крупных инновационных проектов, когда владение некоторым ноу-хау оценивается крайне дорого и идет ожесточенная конкурентная борьба. Из-за обычной клиентской базы вряд ли целесообразно идти на такие сложные и дорогие способы получения информации».

Специалисты «ИнфоВотч» рекомендуют подходить к вопросам безопасности разумно:

— оценить риски реализации данной угрозы для компании;

— для тех областей производства, где риски утечки информации оценены как высокие (к примеру, очень конфиденциальный сегмент, интерес со стороны конкурентов высок), — внедрить процессы проверки оборудования;

— провести обучение сотрудников для повышения осведомленности в области информационной безопасности;

— техподдержка внутри компании должна разработать соответствующие алгоритмы (playbook) приема обращений от сотрудников, которые подозревают наличие закладок в оборудовании, например, компьютер стал медленно работать и «тормозить». Любые такие «звоночки» не должны быть проигнорированы.