Легенды о «закладках» и бэкдорах в компьютерном аппаратном обеспечении ходят давно. Далеко не все из них имеют под собой хоть какие-то основания, хотя в ряде случаев различные механизмы удалённого управления и имеют уязвимости, которые вполне может использовать опытный злоумышленник.

В 2018 году прогремел скандал, когда Bloomberg заявила, что на платах Supermicro может быть крошечный чип, не предусмотренный спецификациями. Эта «модификация» якобы затронула около 30 компаний. Впрочем, все «пострадавшие» хором заявляли, что никаких лишних чипов в их оборудовании нет, а Supermicro даже провела независимое исследование. Правительство США, тем не менее, считает, что подобные атаки могут быть делом рук китайских военных.

Компания Sepio Systems, чьей специализацией является безопасность аппаратных решений, ранее уже подтвердила, что подобные аппаратные закладки возможны, и специалисты компании встречаются с ними не в первый раз. В частности, описывается случай с сервером той же Supermicro, у которого вредоносный чип был внедрён в дорожки, ведущие к порту Ethernet. Обнаружить его активность удалось по нетипичному сетевому трафику, но до конца разобраться в том, какие данные передаёт или обрабатывает устройство, специалистам не удалось.

Аппаратные закладки: миф или реальность?

Так сколько же стоит подобная аппаратная модификация и может ли она быть проведена не спецслужбами и прочими организациями с практически неограниченными ресурсами? Энтузиасты тщательно проверили все возможные способы и доказали, что такая операция возможна. Исследователь Монта Элкинс (Monta Elkins) обещал предоставить подробное описание данного типа атаки на конференции CS3sthlm, которая пройдет с 21 по 24 октября в Стокгольме.

Элкинс утверждает, что ничего сверхсложного в ней нет и каких-то особых навыков не требуется — любой достаточно мотивированный злоумышленник, будь то шпион, хакер или представитель криминальных кругов, легко может снабдить нужный ему сервер или сетевое устройство соответствующей модификацией. Опытному хакеру, который дружит не только с ПО, но и с паяльником, такая операция обойдётся всего в $200, включая затраты на оборудование.

Digispark Attiny 85: донор чипов-закладок. Верхняя микросхема ‒ контроллер

При этом $150 будет стоить фен для пайки, ещё $40 уйдёт на микроскоп, а сами чипы, используемые для взлома, могут стоить всего $2 за штуку. Автору будущего доклада удалось модифицировать брандмауэр Cisco таким образом, что, по его мнению, взлом не заметят большинство системных администраторов.

В качестве чипа Элкинс выбрал 8-бит микроконтроллер Atmel ATtiny85 с платы Digispark Arduino. Эта микросхема не так мала, как «рисовое зёрнышко» из статьи Bloomberg, но её размеры в корпусе SOIC-8 составляют всего 4 × 5 мм. При этом контроллер, работающий на частоте 16,5 МГц, представляет собой довольно мощное устройство. 

Исследователь выбрал место на системной плате Cisco ASA 5505, не требующее дополнительных проводов и установил туда данный чип, предварительно снабдив его соответствующей прошивкой. Элкинс утверждает, что такая модификация возможна и для других устройств Cisco. Компания в свою очередь заявила: «Если будет обнаружена новая информация, о которой должны знать наши клиенты, мы сообщим её по обычным каналам связи».

Взломанная системная плата Cisco ASA 5505. «Лишний» чип в левом нижнем углу

Как видно на снимке, сходу обнаружить лишнюю микросхему не так-то просто, хотя в примере использовалась достаточно небольшая и не слишком сложная системная плата. Если произвести пайку аккуратно, то чип создаёт впечатление установленного на заводе и совершенно не привлекает внимания. Элкинс утверждает, что возможна куда более скрытная установка, а также использование более мелких микросхем. ATtiny85 он выбрал просто из-за легкости программирования.

Контроллер припаян к выводам последовательного порта. После включения устройства чип  дожидается загрузки ОС брандмауэра, а затем имитирует действия человека. Он инициирует процедуру восстановления пароля, после чего создаёт новую учётную запись администратора и, таким образом, получает доступ ко всем настройкам устройства.  Дальнейшее зависит от намерений взломщика: возможно получение полного удалённого доступа к системе, отключение всех настроек безопасности, доступ к сетевым логам и прочим данным.

TinyFPGA AX2: стоимость $19, габариты ПЛИС Lattice  XO2-1200 — 2,5 × 2,5 миллиметра

Другой исследователь, Траммел Хадсон (Trammell Hudson), также подтвердил возможность аппаратного взлома. Он воспроизвёл ситуацию с платой Supermicro и подключился к контроллеру BMC, отвечающему, в числе прочего, и за удалённый доступ к системе. В качестве «зловреда» Хадсон выбрал крошечную ПЛИС площадью всего 2,5 мм², заменив ей один из резисторов на системной плате. Вероятнее всего, он использовал микросхему Lattice XO2-1200.

Таким образом, на сегодняшний день возможность аппаратного взлома различной IT-техники полностью доказана и подтверждена. Самое опасное в такой возможности то, что воспользоваться ей может практически любой достаточно опытный энтузиаст, даже не располагающий серьёзными денежными средствами. В ближайшие годы компаниям, отвечающим за кибербезопасность, предстоит очень много работы. Даже обычным опытным пользователям можно рекомендовать тщательный осмотр своих устройств на предмет наличия «лишних» чипов.

Полупроводниковая компания Microsemi выступила с заявлением, в котором она отрицает, что один из ее продуктов, популярный кремниевый чип ProASIC3 (FPGA), имеет встроенный бэкдор. Исследователи Сергей Скоробогатов из Кембриджского университета и Кристофер Вудс (Christopher Woods) из британской компании Quo Vadis Labs (QVL), утверждали, что обнаружили в FPGA ProASIC3 недокументированные функции, которые могут быть использованы злоумышленниками для получения доступа ко всем функциям чипа, несмотря на шифрование такой информации с помощью определяемого пользователем 128-битного ключа AES.

По утверждению Microsemi, функция, обнаруженная исследователями, является привилегированной возможностью, зарезервированной для начального тестирования и анализа отказов, и она отключена во всех поставляемых устройствах. Кроме того, функция может быть доступна только при программировании устройства по заказу клиента с использованием пользовательского кода доступа. Microsemi не смогла подтвердить возможность описываемой двумя исследователями атаки потому что компания не имеет доступа к технологии и настройкам оборудования, которое они, как утверждают, используют. В ответ на это, исследователи отметили, что PEA-техники описаны в патенте QVL и, следовательно, общедоступны.

Материалы по теме:

• Настоящее и будущее российского серверного рынка: мнение экспертов;
• Kaspersky Endpoint Security 8 for Windows и Security Center 9: обзор новшеств;
• Готовность IT-инфраструктуры к аварийному восстановлению: исследование Acronis.

Источник:

• computerworld.com