El descubrimiento muestra que China continúa saboteando componentes tecnológicos críticos destinados a Estados Unidos.
Una importante compañía de telecomunicaciones de EE. UU. Descubrió hardware manipulado de Super Micro Computer Inc. en su red y lo eliminó en agosto, evidencia reciente de manipulación en China de componentes tecnológicos críticos con destino a los EE. UU., Según un experto en seguridad que trabaja para la compañía de telecomunicaciones.
El experto en seguridad, Yossi Appleboum, proporcionó documentos, análisis y otras pruebas del descubrimiento luego de la publicación de un informe de investigación en Bloomberg Businessweek que detallaba cómo los servicios de inteligencia de China habían ordenado a los subcontratistas que plantaran chips maliciosos en las placas madre de los servidores Supermicro durante un período de dos años. terminando en 2015.
Yossi AppleboumSource: Yossi Appleboum
Appleboum trabajó anteriormente en la unidad de tecnología del Cuerpo de Inteligencia del Ejército Israelí y ahora es director ejecutivo de Sepio Systems en Gaithersburg, Maryland. Su firma se especializa en seguridad de hardware y fue contratada para escanear varios centros de datos grandes que pertenecen a la compañía de telecomunicaciones. Bloomberg no está identificando a la compañía debido al acuerdo de no divulgación de Appleboum con el cliente. Las comunicaciones inusuales de un servidor Supermicro y una posterior inspección física revelaron un implante incorporado en el conector Ethernet del servidor, un componente que se usa para conectar los cables de red a la computadora, dijo Appleboum.
El ejecutivo dijo que ha visto manipulaciones similares de hardware de computadoras de diferentes fabricantes hechas por contratistas en China, no solo productos de Supermicro. “Supermicro es una víctima, al igual que todos los demás”, dijo. Appleboum dijo que su preocupación es que hay innumerables puntos en la cadena de suministro en China donde se pueden introducir manipulaciones, y deducirlas puede ser imposible en muchos casos. “Ese es el problema con la cadena de suministro china”, dijo.
Supermicro, con sede en San José, California, dio esta declaración: “La seguridad de nuestros clientes y la integridad de nuestros productos son fundamentales para nuestro negocio y los valores de nuestra compañía. Nos encargamos de garantizar la integridad de nuestros productos durante todo el proceso de fabricación, y la seguridad de la cadena de suministro es un tema importante de discusión para nuestra industria. Todavía no tenemos conocimiento de ningún componente no autorizado y ningún cliente nos ha informado de que se han encontrado dichos componentes. Estamos consternados de que Bloomberg solo nos daría información limitada, no documentación y medio día para responder a estas nuevas acusaciones “.
Bloomberg News contactó por primera vez con Supermicro para comentar sobre esta historia el lunes a las 9:23 a.m. hora del Este y le dio a la compañía 24 horas para responder.
Supermicro dijo después de la historia anterior que “refuta enérgicamente” los informes de que los servidores que vendió a los clientes contenían microchips maliciosos. La embajada de China en Washington no devolvió una solicitud de comentarios el lunes. En respuesta a la investigación anterior de Bloomberg Businessweek, el Ministerio de Relaciones Exteriores de China no abordó directamente las preguntas sobre la manipulación de los servidores de Supermicro, pero dijo que la seguridad de la cadena de suministro es “un problema de interés común, y China también es una víctima”.
Las acciones de Supermicro cayeron un 41 por ciento el jueves pasado, la mayor cantidad desde que se convirtió en una empresa pública en 2007, después de las revelaciones de Bloomberg Businessweek sobre los servidores pirateados. Cayeron hasta un 27 por ciento el martes después de la última historia.
La manipulación más reciente es diferente de la descrita en el informe Bloomberg Businessweek la semana pasada, pero comparte características clave: ambos están diseñados para dar a los atacantes acceso invisible a los datos en una red de computadoras en la que está instalado el servidor; y se descubrió que las modificaciones se hicieron en la fábrica cuando la placa base estaba siendo producida por un subcontratista de Supermicro en China.
Basándose en su inspección del dispositivo, Appleboum determinó que el servidor de la compañía de telecomunicaciones se modificó en la fábrica donde se fabricó. Dijo que los contactos de inteligencia occidentales le dijeron que el dispositivo se fabricó en una fábrica de subcontratistas Supermicro en Guangzhou, una ciudad portuaria en el sureste de China. Guangzhou está a 90 millas río arriba de Shenzhen, apodado “Silicon Valley of Hardware” y alberga a gigantes como Tencent Holdings Ltd. y Huawei Technologies Co. Ltd.
El hardware manipulado se encontró en una instalación que tenía un gran número de servidores Supermicro, y los técnicos de la compañía de telecomunicaciones no pudieron responder qué tipo de datos pulsaban en el infectado, dijo Appleboum, quien los acompañó para una inspección visual de la máquina. No está claro si la compañía de telecomunicaciones se comunicó con el FBI sobre el descubrimiento. Una portavoz del FBI se negó a comentar si estaba al tanto del hallazgo.
.” Sprint no tiene equipos Supermicro implementados en nuestra red “, dijo Lisa Belot, una portavoz de Sprint. T-Mobile US Inc. no respondió a las solicitudes de comentarios. La junta de Sepio Systems incluye al presidente Tamir Pardo, ex director del Mossad israelí, la agencia de defensa nacional de Israel, y su junta asesora incluye a Robert Bigman, ex jefe de seguridad de la información oficial de la Agencia Central de Inteligencia de EE. UU. Las redes de comunicaciones son un objetivo importante de las agencias de inteligencia extranjeras, porque los datos de millones de teléfonos móviles, computadoras y otros dispositivos pasan a través de sus sistemas. Los implantes de hardware son herramientas clave que se utilizan para crear aperturas ocultas en esas redes, realizar reconocimientos y buscar propiedad intelectual corporativa o secretos gubernamentales. La manipulación del conector Ethernet parece ser similar a un método que también utiliza la Agencia de Seguridad Nacional de EE. UU. que se filtraron en 2013. En los correos electrónicos, Appleboum y su equipo se refieren al implante como su “viejo amigo”, porque dijo que habían visto varias variaciones en las investigaciones de hardware hechas por otras compañías que fabrican en China. En el informe de Bloomberg Businessweek, un funcionario dijo que los investigadores descubrieron que la infiltración china a través de Supermicro llegó a casi 30 compañías, incluidas Amazon.com Inc. y Apple Inc. Ambas, Amazon y Apple también disputaron los hallazgos. El Departamento de Seguridad Nacional de EE. UU. Dijo que no tiene “ninguna razón para dudar” de las negaciones de las empresas a los informes de Bloomberg Businessweek. Personas familiarizadas con la investigación federal sobre los ataques del 2014-2015 dicen que está siendo liderada por los equipos de ciberespacía y contrainteligencia del FBI, y que es posible que el DHS no haya estado involucrado. Las investigaciones de contrainteligencia están entre las más estrechamente controladas por el FBI y pocos funcionarios y agencias fuera de esas unidades están informados sobre la existencia de esas investigaciones. Supermicro hardware, y el hardware de otras empresas, desde hace algún tiempo. En respuesta a la historia de Bloomberg Businessweek, la Autoridad de Seguridad Nacional de Noruega dijo la semana pasada que había estado “al tanto de un problema” relacionado con los productos Supermicro desde junio. No pudo confirmar los detalles de los informes de Bloomberg, dijo una declaración de la autoridad, pero recientemente ha estado en diálogo con los socios sobre el tema. La manipulación del hardware es extremadamente difícil de detectar, por lo que las agencias de inteligencia invierten miles de millones de dólares en tales sabotaje. Se sabe que los EE. UU. Tienen extensos programas de tecnología de semillas que se dirigen a países extranjeros con implantes de espionaje, basados en las revelaciones del ex empleado de la CIA Edward Snowden. Pero China parece estar desplegando agresivamente sus propias versiones, que aprovechan el control que tiene el país sobre la fabricación de tecnología global. Tres expertos en seguridad que analizaron implantes de hardware extranjeros para el Departamento de Defensa de EE. UU. Confirmaron que la forma en que el software de Sepio detectó el implante es sonar. Una de las pocas formas de identificar hardware sospechoso es observar los niveles más bajos de tráfico de red. Entre ellas se incluyen no solo las transmisiones normales de la red, sino también las señales analógicas, como el consumo de energía, que pueden indicar la presencia de una pieza oculta de hardware. En el caso de la empresa de telecomunicaciones, la tecnología de Sepio detectó que el servidor Supermicro manipulado aparecía En la red como dos dispositivos en uno. El servidor legítimo se comunicaba de una manera y el implante de otra, pero todo el tráfico parecía provenir del mismo servidor de confianza, lo que le permitía pasar a través de los filtros de seguridad. Appleboum dijo que un signo clave del implante es que el conector Ethernet manipulado tiene lados metálicos en lugar de los plásticos habituales. El metal es necesario para difundir el calor del chip escondido en el interior, que actúa como una mini computadora. “El módulo parece realmente inocente, de alta calidad y ‘original’, pero se agregó como parte de un ataque de la cadena de suministro”, dijo. El objetivo de los implantes de hardware es establecer un área de almacenamiento encubierta dentro de redes sensibles, y eso es lo que Appleboum y Su equipo concluyó en este caso. Decidieron que representaba una infracción grave de seguridad, junto con varios dispositivos electrónicos falsos también detectados en la red, y alertaron al equipo de seguridad del cliente en agosto, que luego los eliminó para su análisis. Una vez que se identificó el implante y se retiró el servidor, el equipo de Sepio no pudo realizar un análisis adicional en el chip. La amenaza de los implantes de hardware “es muy real”, dijo Sean Kanuck, quien hasta 2016 era el principal funcionario cibernético dentro de la Oficina de El Director de Inteligencia Nacional. Ahora es director de conflictos futuros y seguridad cibernética para el Instituto Internacional de Estudios Estratégicos en Washington. Los implantes de hardware pueden dar a los atacantes el poder que los ataques de software no tienen. “El fabricante, Los que pasan por alto esta preocupación están ignorando un problema potencialmente grave “, dijo Kanuck. “Los ciberactores capaces, como los servicios de inteligencia y seguridad chinos, pueden acceder a la cadena de suministro de TI en múltiples puntos para crear subversiones avanzadas y persistentes”. Una de las claves de cualquier ataque de hardware exitoso es alterar los componentes que tienen una fuente de alimentación amplia Para ellos, un desafío abrumador a medida que se adentra en una placa base. Es por eso que los periféricos, como los teclados y ratones, también son los favoritos de siempre para las agencias de inteligencia, dijo Appleboum. A raíz de los informes de Bloomberg sobre el ataque contra los productos Supermicro, los expertos en seguridad dicen que equipos de todo el mundo, de grandes bancos y proveedores de computación en la nube. Para pequeños laboratorios de investigación y nuevas empresas, estamos analizando sus servidores y otro hardware en busca de modificaciones, un cambio radical de las prácticas normales. Sus hallazgos no necesariamente se harán públicos, ya que la manipulación del hardware suele estar diseñada para acceder a secretos gubernamentales y corporativos, en lugar de datos de los consumidores. Los expertos en seguridad nacional dicen que un problema clave es que, en una industria de seguridad cibernética que se aproxima a $ 100 mil millones en ingresos anuales, muy poco de eso se ha gastado en la inspección de hardware para manipulación. Eso permitió que las agencias de inteligencia de todo el mundo trabajen relativamente sin impedimentos, y China tiene una ventaja clave. “Para China, estos esfuerzos abarcan todo”, dijo Tony Lawrence, CEO de VOR Technology, un contratista de inteligencia con sede en Columbia, Maryland. comunidad. “No hay forma de que podamos identificar la gravedad o el tamaño de estas hazañas, no lo sabemos hasta que encontramos alguna. Podría estar por todas partes, podría ser cualquier cosa que salga de China. Lo desconocido es lo que te atrapa y ahí es donde estamos ahora. No conocemos el nivel de explotaciones dentro de nuestros propios sistemas “.