Simovits

Finns spioner i våra servrar?

I den här bloggen tänkte jag diskutera de senaste veckornas gäckande samt fascinerade rapporteringen om kinesiska hacknings-attacker. Dessa ska bland annat ha tillämpat väldigt små inbyggda spion-chip i servrar.

Bakgrund

Grunden till påståendet om hacknings-attacker är tre stycken publicerade artiklar av Bloomberg. Den 4 oktober 2018 publicerades den första artikel om hur kinesiska underrättelseagenter har gömt små data-chip i servrar som har tillverkats av företaget Super Micro. Bland Super Micros kunder återfinns dels amerikan myndigheter så som Department of Defence, CIA och den amerikanska flottan, men även stora företag har varit kunder hos Super Micron (direkt eller indirekt via underleverantörer). De som nämns i artikeln är Apple och Amazon (Amazon Web Services). Totalt citerade Bloomberg 17 stycken anonyma källor som påstås jobba hos amerikanska myndigheter, Apple samt Amazon. Målet med spion-chipen hävdas vara att påverka och övervaka maskinvara (servrar) som används av amerikanska myndigheter och storföretag. Tillvägagångssättet ska ha varit att muta och utpressa personal i de kinesiska fabrikerna där servermoderkort tillverkas. De inplacerade chipen ska ha varit små (storleken av ett riskorn) och kamouflerade som naturliga moderkorts komponenter för att undvika upptäckt. Upptäckten av dessa chip ska ha skett oberoende av varandra hos både Apple och Amazon. Bägge företagen ska efter upptäckten ha rapporterat detta till FBI och sedan assisterat i utredningen. De federala myndigheterna (FBI) ska dock redan innan ha haft en pågående utredning igång om möjlig kinesisk hårdvarupåverkan av servrar.

I den andra artikeln publicerad samtidigt som den första berättar Bloomberg om hur en online portal för firmware hos Super Micro också angripits. Attacken ska ha skett under 2015 och varit utförd av en kinesiskgrupp. Resultatet av attacken hävdades vara att skadlig firmware gjordes tillgänglig för kunder som ämnade ladda ner den senaste varianten via kund-portalen. Firmwaren var riktat till nätverkskortsdelen av moderkortet. Den källan som citeras är en anonym Facebook anställd.

I den tredje, och vid skrivandet av denna blogg senaste, artikeln från Bloomberg rapporterade om ytterligare hårdvarupåverkan från kinesisk sida. Även här ska de påverkade servrarna ha kommit från Super Micro. Denna gång omnämns dock en källa med namn. En säkerhetsexpert med namnet Yossi Appleboum ska ha visat dokument och andra bevis för Bloomberg som påvisar att han har upptäckt ett inbyggt implantat i en Ethernet-anslutning på en server. Detta skulle motsvara en annan typ av hårdvarumanipulation jämfört med spion-chipet i den första artikeln. Upptäckten ska ha gjorts hos en av USA:s största teleoperatörer, exakt vilken är oklart då sekretessavtal ska ha hindrat Appleboum från att avslöja det till Bloomberg.

Nekande och undrande

Sedan starten av Bloombergs rapporterande har samtliga namngivna företag (Apple, Amazon och Super Micro) nekat till påståendena. Deras uttalanden har varit synnerligen starka, och det är ytterst svårt att tro att de någonsin kan gå tillbaka från dem utifrån refererande till vag formulering. Men det är inte bara företagen som har tagit avstånd från påståendena. Samtliga amerikanska myndigheter som har uttalat sig har ställt sig frågande när det gäller rapporteringen, och uppger att de inte har någon kunskap om händelserna (exempel inkluderar officiella  uttalande från Homland Security, representanter från NSA och högsta FBI chefen). Till och med en rådgivare till den första artikeln, samt den enda namngivna källan, har efter sina uttalanden i Bloomberg artiklarna tagit avstånd från hur de citerades i dessa. Båda anger att sammanhanget i vilket de gjorde uttalandena har förvanskats.

I teknikvärlden råder just nu en viss skepticism rörande rapporteringen. Väldigt få tekniska detaljer är beskrivna av Bloomberg. Nästan alla experter är överens om att spion-chip kan byggas, och att dessa kan ha den förmågan som påstås. Det som dock ter sig märkligt för de flesta expert, och blir än mer påtagligt för varje dag som går, är den totala avsaknaden av tekniska detaljer rörande dessa chip. Det resoneras att om dessa spion-chip är så vitt sprida som Bloomberg påstår borde något exemplar ha upptäckts ”ute i det vilda” vid det här laget.

Vem ska man tro?

Alla de omnämnda parterna i artikeln har gått ut i pressmeddelanden om att de bestämt tar avstånd ifrån allt som nämns i den första artikeln och att den är fullständigt falskt. Bloomberg vidhåller samtidigt att deras källor är tillförlitliga. Därför utgörs det tillgängliga underlaget mest av motstridiga uppgifter och ”ord mot ord”. I slutändan beror mycket på vem som anses vara mest trovärdig.

Flera saker gör att man kan ifrågasätta riktigheten i Bloombergs rapporterande:

  1. Få tekniska detaljer

  2. Starka avståndstaganden från företag och myndigheter

  3. Osäkerhet rörande källornas-trovärdighet.

Det som dock gör saken mest förbryllande är varför inga ytterligare rapporter från andra källor har inkommit efter Bloombergs första artikel som publicerades för ca 2 veckor sedan. Flera olika företag samt myndigheter bör ha initierat undersökningar av sina servar efter rapporten om spion-chip. Men eftersom inget har hörts rörande upptäckten av spion-chip så går det att börja ifrågasätta deras sprida förekomst, iallafall så som beskriven av Bloomberg.

Anknytning till andra händelser?

Om det är så att det som Bloombergs rapporterande i huvudsak inte stämmer går det att fråga sig varför de ändå publicerade dessa artiklar.

En förklaring kan vara att källor helt enkelt har misstolkat situationen. Detta skulle kunna ske om ”vanliga” mjukvaruattacker har skett och att de källorna som citeras av Bloomberg har hört om dessa händelser sekundärt. Det kan helt enkelt ha blivit en ”visknings-lek” där varje led har förvridit information för att tillslut nå Bloomberg efter många olika revisioner. Det som talar emot denna mest rättframma förklaring är att Bloombergs påståenden har skapat stor påverkan på många. Bland annat har  Super Micro:s börsvärde fullständigt kollapsat efter nyheten om spion-chip förekomst. Om de uppgifterna som har orsakat detta visar sig vara falska skulle det säkerligen innebära en storskalig stämning mot Bloomberg. Därför måste Bloomberg ha känt sig väldigt säkra på sina källor och noga undersökt risken att de kan ha fel.

Det går även att tänka sig mer konspirationsinriktade förklaringar.

Samma dag som Bloomberg publicerade sin första artikel rapporterades det om hur ryska spioner hade arresterats för att ha utfört Wi-Fi hackning i bland annat Nederländerna. Att två stora hacknings-händelser rapporteras samma dag är ovanligt. En tanke skulle därför kunna vara att fejkande nyheter (fake-news) spreds i samband med uppmärksammandet av ryska hackers för att dra fokus från dessa. Jämförelsevis motsvarar de påstådda spion-chipen en större säkerhetsrisk för företag och myndigheter än vad de ryska spionerna representerar.

En annan möjlighet är att amerikanska intressen skulle vilja spä på de redan spända relationerna mellan USA och Kina samt det pågående handelskriget. Viljan för företag och myndigheter att välja kinesiska företag som leverantörer för tjänster och teknik minskar ifall de misstänker hårdvarumanipulation. Något snarlikt har redan hänt i exempelvis Australien, där Huawei och ZTE (båda kinesiska företag) inte får leverera 5G nätverk på grund av hävdade säkerhetsrisker. Att liknade scenarion för andra tekniker därför skulle kunna gagna amerikanska företag ter sig därför uppenbart. På samma sätt skulle det vara mer fördelaktigt att flytta tillverkning tillbaka till USA eftersom leverantörskedjan då skulle kunna erbjuda bättre säkerhet mot de påstådda hårdvarumanipulationerna

Tålamod är en dygd

I slutändan går det inte att definitivt veta om Bloombergs rapporterande är sant eller inte. Det som dock kommer vara den största indikationen är det fortsatta händelseförloppet. Om exemplar på spion-chip upptäckts och presenteras, eller om namngivna trovärdiga källor träder fram, finns det anledning att tro på det Bloomberg hävdar. Fram till dess bör vi alla ta detta med en stor nypa salt. I slutändan kan detta mycket väl vara ytterligare ett exempel på det idag allt vänligare konceptet som är fejkande nyheter (fake-news).

Källor samt fortsatt läsning:

  1. https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies?srnd=businessweek-v2

  2. https://aws.amazon.com/blogs/security/setting-the-record-straight-on-bloomberg-businessweeks-erroneous-article/
  3. https://www.apple.com/newsroom/2018/10/what-businessweek-got-wrong-about-apple/
  4. https://www.reuters.com/article/us-china-cyber-britain/uk-cyber-security-agency-backs-apple-amazon-china-hack-denials-idUSKCN1MF1DN
  5. https://www.dhs.gov/news/2018/10/06/statement-dhs-press-secretary-recent-media-reports-potential-supply-chain-compromise
  6. https://www.supermicro.com/newsroom/pressreleases/2018/press181004_Bloomberg.cfm
  7. https://www.bloomberg.com/news/articles/2018-10-04/the-big-hack-amazon-apple-supermicro-and-beijing-respond
  8. https://www.reuters.com/article/us-china-cyber-apple/apple-tells-congress-it-found-no-signs-of-hacking-attack-idUSKCN1MH0YQ?feedType=RSS&feedName=technologyNews
  9. https://www.bloomberg.com/news/articles/2018-10-04/the-big-hack-the-software-side-of-china-s-supply-chain-attack
  10. https://mashable.com/2018/03/19/ibm-worlds-smallest-computer/?europe=true#Q27lDytkagqS
  11. https://www.bloomberg.com/news/articles/2018-10-09/new-evidence-of-hacked-supermicro-hardware-found-in-u-s-telecom?srnd=technology-vp
  12. https://www.linkedin.com/in/yossi-appleboum-703500/
  13. https://www.linkedin.com/in/yossi-appleboum-703500/detail/recent-activity/?lipi=urn%3Ali%3Apage%3Ad_flagship3_profile_view_base%3BbP%2B7EKglTGKB7ADYiy8bmA%3D%3D&licu=urn%3Ali%3Acontrol%3Ad_flagship3_profile_view_base-recent_activity_details_all
  14. https://www.linkedin.com/in/yossi-appleboum-703500/detail/recent-activity/?lipi=urn%3Ali%3Apage%3Ad_flagship3_profile_view_base%3BbP%2B7EKglTGKB7ADYiy8bmA%3D%3D&licu=urn%3Ali%3Acontrol%3Ad_flagship3_profile_view_base-recent_activity_details_all
  15. https://www.servethehome.com/yossi-appleboum-disagrees-bloomberg-is-positioning-his-research-against-supermicro/
  16. https://www.sepio.systems/about/
  17. https://www.bloomberg.com/news/articles/2018-10-10/fbi-s-wray-deflects-queries-on-china-tampering-with-server-chips
  18. https://www.vg.no/nyheter/i/xRkLep/storavis-hevder-kina-installerte-spionverktoey-i-maskinvare
  19. https://www.vg.no/nyheter/innenriks/i/1k9EQK/forsvarsdepartementet-kjoepte-utstyr-for-533-000-droppes-etter-kina-avsloering
  20. https://www.bloomberg.com/news/articles/2018-10-09/senators-question-super-micro-on-report-of-chinese-hardware-hack
  21. https://risky.biz/RB517_feature/
  22. https://appleinsider.com/articles/18/10/08/security-researcher-cited-in-bloombergs-china-spy-chip-investigation-casts-doubt-on-storys-veracity
  23. https://www.macrumors.com/2018/10/11/kaspersky-lab-questions-supermicro-allegations/
  24. https://www.bloomberg.com/news/articles/2018-10-10/nsa-cyber-official-asks-for-first-hand-accounts-of-chip-hacking
  25. https://www.bbc.com/news/technology-45281495
  26. https://nordic.businessinsider.com/russia-gru-caught-hacking-into-opcw-via-wifi-dutch-intelligence-says-2018-10?r=US&IR=T