[Netzwelt] Chinesische Spionage-Chips in Cloud-Servern gefunden

Wie das Magazin "

You do not have permission to view link please Anmelden or Registrieren

" am 4. Oktober berichtete, wurden im Jahr 2015 winzige Spionage-Chips auf Server-Mainboards gefunden, vermutlich chinesischer Herkunft. Diese Mainboards werden vor allem in den Cloud-Servern großer Firmen eingesetzt - betroffen sind unter Anderem Amazon AWS und Apple.

Die gefundenen Spionage-Chips sind laut Bloomberg als SMD-Modul getarnt, an einer unauffälligen Stelle des Boards untergebracht, und ohne Spezialausrüstung nur schwer zu entdecken. Die Chips sind direkt mit dem

You do not have permission to view link please Anmelden or Registrieren

des Boards verbunden und können dadurch Code im System ausführen. Der Chip selbst kann den BMC manipulieren, um eine Verbindung zu einem externen Server herzustellen. Im nächsten Schritt kann der Chip Code von diesem Server herunterladen und ausführen lassen. Damit kann ein Angreifer die komplette Kontrolle über den Server übernehmen, ohne Spuren am Server zu hinterlassen - es handelt sich um die erste Hardware-Backdoor, die im großen Stil verteilt wurde.

Bei den betroffenen Server-Mainboards soll es sich um Supermicro-Modelle handeln, die von chinesischen Zulieferern (bzw. Auftragsfertigern) mit dem Spionage-Chip versehen wurden. Verantwortlich sein soll eine Spezialabteilung der chinesischen Volksbefreiungsarmee. Laut Bloomberg knackten US-Geheimdiensten einen der Kontroll-Server, um den Angriff zuzuordnen.

Eine offizielle Bestätigung seitens der beteiligten Firmen, Regierungen und Geheimdienste gibt es bislang nicht, Bloomberg beruft sich unter Anderem auf informierte Insider der Obama- und Trump-Regierung sowie der beteiligten Hardware-Hersteller. Apple und Amazon haben sich laut Bloomberg bereits 2016 von sämtlichen Supermicro-Mainboards getrennt.

You do not have permission to view link please Anmelden or Registrieren

(mit Fotos der Chips)

You do not have permission to view link please Anmelden or Registrieren

(lesenswert!)

 

[DandG]

Müsste hier so ein älteres Board von Supermicro haben, ob das ding auch drauf ist... nachgucken kann man ja mal

 

[Metal_Warrior]

The Register hat da ne ganze Backgroundstory zu. Wenn es passiert ist (Dementis gab es mittlerweile von allen beteiligten Firmen), dann wohl nur punktuell und gezielt:

You do not have permission to view link please Anmelden or Registrieren

 

[Shodan]

Es gibt da eine Sache an dem Report, der mich etwas stört:

Its security team determined that it would be difficult to quietly remove the equipment and that, even if they could devise a way, doing so would alert the attackers that the chips had been found, according to a person familiar with the company’s probe. Instead, the team developed a method of monitoring the chips. In the ensuing months, they detected brief check-in communications between the attackers and the sabotaged servers but didn’t see any attempts to remove data. That likely meant either that the attackers were saving the chips for a later operation or that they’d infiltrated other parts of the network before the monitoring began. Neither possibility was reassuring.

Das soll vor Jahren passiert sein und dann eine Runde durch die IT High Society der USA gemacht haben? Ok der NSA würde ich noch zutrauen ihre Signaturen geheimzuhalten, und die können auch großflächig Datenverkehr scannen, aber wie durchsucht man Rechenzentren nach auffälligem Netzwerkverkehr? Viel zu viele Beteiligte IDS, zu viele beteiligte Personen. Das bräuchte eine Filterregel aus einem Verteiler an der "Identifizieren sie die Maschine und rufen sie das FBI an" dran steht, sonst zieht man die Geräte doch nicht aus dem Verkehr.

Gehen die USA also davon aus, dass es ein gezielter Angriff auf Stammkunden war (AWS GovCloud?) und haben eine relative kleine Zahl an Geräten eingesammelt, oder sie machen da einen ziemlich großen Fehler. Sowas kann und sollte nicht jahrelang geheim gehalten werden.

Das der "Bonus-Chip" für Stammkunden aber auch genau am BNC sitzt. Da gab es vor einem Monat von

You do not have permission to view link please Anmelden or Registrieren

dazu. Und die verlinkte Konferenz hat mehrere Hewlett-Packard HPE iLo zerlegt. Zum Glück hängt der Kram in der Regel an einer eigenen Netzwerkschnittstelle über die eigentlich nur authorisierte Systeme remote die Firmware flashen können sollten. Jetzt wird dort auch über eingebrannte Herstellerzertifikate geredet. Tolle Root of Trust. Bei Tailored Access Operations löten die Militärgeheimdienste dann einfach noch was dazu.

Wie viele LKWs schafft so eine chinesische Fabrik?

 

[Kokser]

You do not have permission to view link please Anmelden or Registrieren

Die Sensationsmeldung des Wirtschaftsportals Bloomberg über manipulierte Hardware für Cloud Computing stellt sich im FM4-Faktencheck als fast völlig faktenfrei heraus. Am Freitag kam ein langerwarteter Bericht des Pentagon heraus, der vor der Elektronikfertigung in China warnt.