Как правило, если речь идёт о «закладках», имеется в виду программная часть — от системной прошивки и BIOS до высокоуровневого ПО. Но программное обеспечение виновато не всегда. Возможность присутствия аппаратных «жучков» уже обсуждалась в прошлом году в связи с Supermicro. Теперь же обнаружены нелегальные версии некоторых сетевых коммутаторов Cisco Systems.

У оригинального коммутатора Cisco надписи сделаны бледно-серым (справа)

Само имя Cisco в представлениях не нуждается: это один из самых известных производителей и поставщиков сетевого оборудования. Вокруг Cisco даже сложился своеобразный культ среди ИТ-специалистов. Как выяснила F-Secure Consulting, этим могут пользоваться злоумышленники, предлагая «поддельные» устройства со знакомым логотипом. Речь идёт о коммутаторах Cisco Catalyst 2960-X. Эти устройства уже не новы и не блещут запредельными скоростями, но в ряде случаев их возможностей всё ещё достаточно.

Чипированный коммутатор, случай А

Пока зафиксировано лишь два случая, в обоих речь идёт о модели WS-2960X-48TS-LV05, полученной якобы от проверенного поставщика, гарантирующего подлинность продукции. Выявить «нестандартность» коммутаторов удалось благодаря обновлению системного ПО, которое привело к их неработоспособности.

Внешне устройства мало чем отличались от оригинальных, хотя при пристальном изучении разницу и можно было заметить, как указано в отчете F-Secure. К счастью, никаких «бэкдоров» в конструкции поддельных коммутаторов найдено не было, однако вполне возможно, что это своеобразный «пробный шар» со стороны злоумышленников.

В этот раз программное обеспечение помогло выявить подделку

Внутри устройств обнаружились следы ремонта и модификации; в частности, очевидно, что чипы флеш-памяти, хранящие прошивку, были заменены. Это могло произойти и в рамках обычного ремонта, однако никаких официальных данных об этой процедуре найти не удалось.

Внутри одного из коммутаторов обнаружилась крошечная дополнительная платка, содержащая чип I2C EEPROM ёмкостью 512 Кбит. Она соединялась с основной системой посредством дополнительных проводов — примерно так же «чипируются» игровые консоли. Второе устройство также содержало дополнительный EEPROM, однако в этом случае дополнение было выполнено намного более профессионально.

Оригинал (справа) и подделка, случай B. Видны отличия в разводке и качестве шелкографии

После обновления ПО устройства отказались проходить аутентификацию, что и привело к их обнаружению. Разумеется, самой Cisco крайне не понравился сам факт появления на рынке такой продукции, поскольку он ставит под удар имя и репутацию компании, о чём она и заявила. Полный отчёт об исследовании поддельных коммутаторов Cisco можно скачать с сайта F-Secure, он содержит подробный разбор с массой технических деталей.

Легенды о «закладках» и бэкдорах в компьютерном аппаратном обеспечении ходят давно. Далеко не все из них имеют под собой хоть какие-то основания, хотя в ряде случаев различные механизмы удалённого управления и имеют уязвимости, которые вполне может использовать опытный злоумышленник.

В 2018 году прогремел скандал, когда Bloomberg заявила, что на платах Supermicro может быть крошечный чип, не предусмотренный спецификациями. Эта «модификация» якобы затронула около 30 компаний. Впрочем, все «пострадавшие» хором заявляли, что никаких лишних чипов в их оборудовании нет, а Supermicro даже провела независимое исследование. Правительство США, тем не менее, считает, что подобные атаки могут быть делом рук китайских военных.

Компания Sepio Systems, чьей специализацией является безопасность аппаратных решений, ранее уже подтвердила, что подобные аппаратные закладки возможны, и специалисты компании встречаются с ними не в первый раз. В частности, описывается случай с сервером той же Supermicro, у которого вредоносный чип был внедрён в дорожки, ведущие к порту Ethernet. Обнаружить его активность удалось по нетипичному сетевому трафику, но до конца разобраться в том, какие данные передаёт или обрабатывает устройство, специалистам не удалось.

Аппаратные закладки: миф или реальность?

Так сколько же стоит подобная аппаратная модификация и может ли она быть проведена не спецслужбами и прочими организациями с практически неограниченными ресурсами? Энтузиасты тщательно проверили все возможные способы и доказали, что такая операция возможна. Исследователь Монта Элкинс (Monta Elkins) обещал предоставить подробное описание данного типа атаки на конференции CS3sthlm, которая пройдет с 21 по 24 октября в Стокгольме.

Элкинс утверждает, что ничего сверхсложного в ней нет и каких-то особых навыков не требуется — любой достаточно мотивированный злоумышленник, будь то шпион, хакер или представитель криминальных кругов, легко может снабдить нужный ему сервер или сетевое устройство соответствующей модификацией. Опытному хакеру, который дружит не только с ПО, но и с паяльником, такая операция обойдётся всего в $200, включая затраты на оборудование.

Digispark Attiny 85: донор чипов-закладок. Верхняя микросхема ‒ контроллер

При этом $150 будет стоить фен для пайки, ещё $40 уйдёт на микроскоп, а сами чипы, используемые для взлома, могут стоить всего $2 за штуку. Автору будущего доклада удалось модифицировать брандмауэр Cisco таким образом, что, по его мнению, взлом не заметят большинство системных администраторов.

В качестве чипа Элкинс выбрал 8-бит микроконтроллер Atmel ATtiny85 с платы Digispark Arduino. Эта микросхема не так мала, как «рисовое зёрнышко» из статьи Bloomberg, но её размеры в корпусе SOIC-8 составляют всего 4 × 5 мм. При этом контроллер, работающий на частоте 16,5 МГц, представляет собой довольно мощное устройство. 

Исследователь выбрал место на системной плате Cisco ASA 5505, не требующее дополнительных проводов и установил туда данный чип, предварительно снабдив его соответствующей прошивкой. Элкинс утверждает, что такая модификация возможна и для других устройств Cisco. Компания в свою очередь заявила: «Если будет обнаружена новая информация, о которой должны знать наши клиенты, мы сообщим её по обычным каналам связи».

Взломанная системная плата Cisco ASA 5505. «Лишний» чип в левом нижнем углу

Как видно на снимке, сходу обнаружить лишнюю микросхему не так-то просто, хотя в примере использовалась достаточно небольшая и не слишком сложная системная плата. Если произвести пайку аккуратно, то чип создаёт впечатление установленного на заводе и совершенно не привлекает внимания. Элкинс утверждает, что возможна куда более скрытная установка, а также использование более мелких микросхем. ATtiny85 он выбрал просто из-за легкости программирования.

Контроллер припаян к выводам последовательного порта. После включения устройства чип  дожидается загрузки ОС брандмауэра, а затем имитирует действия человека. Он инициирует процедуру восстановления пароля, после чего создаёт новую учётную запись администратора и, таким образом, получает доступ ко всем настройкам устройства.  Дальнейшее зависит от намерений взломщика: возможно получение полного удалённого доступа к системе, отключение всех настроек безопасности, доступ к сетевым логам и прочим данным.

TinyFPGA AX2: стоимость $19, габариты ПЛИС Lattice  XO2-1200 — 2,5 × 2,5 миллиметра

Другой исследователь, Траммел Хадсон (Trammell Hudson), также подтвердил возможность аппаратного взлома. Он воспроизвёл ситуацию с платой Supermicro и подключился к контроллеру BMC, отвечающему, в числе прочего, и за удалённый доступ к системе. В качестве «зловреда» Хадсон выбрал крошечную ПЛИС площадью всего 2,5 мм², заменив ей один из резисторов на системной плате. Вероятнее всего, он использовал микросхему Lattice XO2-1200.

Таким образом, на сегодняшний день возможность аппаратного взлома различной IT-техники полностью доказана и подтверждена. Самое опасное в такой возможности то, что воспользоваться ей может практически любой достаточно опытный энтузиаст, даже не располагающий серьёзными денежными средствами. В ближайшие годы компаниям, отвечающим за кибербезопасность, предстоит очень много работы. Даже обычным опытным пользователям можно рекомендовать тщательный осмотр своих устройств на предмет наличия «лишних» чипов.