Este ataque alcanzó a cerca de 30 organizaciones en EU, incluyendo Apple y Amazon
Amazon comenzó a evaluar una empresa startup llamada Elemental Technologies, como una potencial compra pensando en su expansión hacia el servicio de streaming, lo que hoy conocemos como Amazon Prime Video. Elemental desarrollaba software para comprimir archivos de video masivos y optimizarlos para diferentes dispositivos.
Según reportes de Bloomberg, Amazon Web Services contrató a un tercero para evaluar la seguridad de Elemental. Durante esta auditoría, fueron encontrados algunos inconvenientes que llevaron a Amazon a echar un vistazo más de cerca al principal desarrollo de Elemental: los costosos servidores que los clientes instalaron en sus redes para manejar la compresión de video. Estos servidores fueron ensamblados para Elemental por Super Micro Computer Inc., una compañía con sede en San José, que también es uno de los proveedores más grandes del mundo de motherboards para servidores, los grupos de chips y condensadores montados en fibra de vidrio que actúan como las neuronas de los centros de datos. A inicios de 2015, Elemental empaquetó varios servidores y los envió a Ontario, Canadá, para que la compañía de seguridad contratada por AWS los probara.
Los auditores encontraron un pequeño microchip alojado en la motherboard de los servidores, apenas del tamaño de un grano de arroz, que no formaba parte del diseño original de la motherboard. Amazon informó sobre esto a las autoridades de EU, disparando una alerta entre especialistas en seguridad y forense digital, pues los servidores de Elemental se pueden encontrar en los centros de datos del Departamento de Defensa, operaciones con drones de la CIA y las redes a bordo de los buques de guerra de la Marina de EU.
En esta investigación, clasificada como secreta, los expertos en forense digitalconcluyeron que estos chips permitieron crear puertas ocultas en cualquier red que funcionara con los dispositivos alterados. Muchas personas familiarizadas con el asunto dicen que los investigadores descubrieron que los microchips habían sido insertados en fábricas dirigidas por subcontratistas en China.
Este ataque se considera más grave que los incidentes de seguridad basados en software que todos conocen. El hacking vía hardware es más difícil de llevar a cabo y potencialmente más peligroso, promete el acceso silencioso a largo plazo que las agencias de espionaje han esperado tener durante años, y por el que están dispuestas a pagar millones de dólares.
Expertos en forense digital consideran que si existe un país capaz de intervenir de esta manera en un hardware, ese país es China. En China se fabrican el 75% de los teléfonos celulares y el 90% de las PCs que se utilizan en todo el mundo. Aún así, lograr un ataque de este tipo involucraría trabajar con demasiadas variables, desde la completa comprensión del material con el que se trabaja, hasta lograr que el hardware intervenido esquive las medidas de seguridad a las que se somete en todo el mundo.
Y justo así ocurrió, los chips fueron insertados durante el proceso de fabricación de las motherboards por agentes de una unidad del Ejército de Liberación Popular, mencionan dos agentes de inteligencia de EU. Los espías chinos parecen haber encontrado en Supermicro Inc el conducto perfecto para el ataque a una cadena de suministros más significativo que se haya realizado contra organizaciones estadounidenses.
Según reportes de especialistas en forense digital del Instituto Internacional de Seguridad Cibernética, el ataque alcanzó a casi 30 compañías, incluyendo un importante banco, contratistas del gobierno e incluso Apple, la compañía más valiosa del mundo. Apple era un cliente importante de Supermicro y había planeado ordenar más de 30 mil de sus servidores para una nueva red global de centros de datos, pero cortaron su relación con Supermicro después de, supuestamente, haber encontrado estos microchips maliciosos.
A pesar de esto, tanto Amazon Web Services, Apple y Supermicro Inc se han pronunciado en contra de esta información, alegando que en ningún momento han identificado algún tipo de intervención en su cadena de suministros. Los dichos de las tres compañías entran en completa contradicción de lo expuesto por seis oficiales superiores de seguridad nacional, en activo y retirados, que han detallado el descubrimiento de estos chips.
Acorde a los oficiales estadounidenses, el ataque se llevó a cabo de la siguiente forma:
- Una unidad militar china diseñó y fabricó microchips tan pequeños como la punta de un lápiz. Algunos de estos chips se construyeron para mimetizarse como componentes de una motherboard. Posteriormente, les fue incorporada memoria, capacidad de red y capacidad de procesamiento para un ataque
- Los microchips se insertaron en fábricas chinas que suministraban a Supermicro Inc, uno de los mayores vendedores de motherboards para servidores
- Las motherboards comprometidas eran insertadas en los servidores de Supermicro
- Los servidores saboteados se abrieron paso dentro de los centros de datos operados por docenas de compañías
- Cuando se instalaba uno de estos servidores, el microchip modificaba el núcleo del sistema operativo para que pudiera aceptar modificaciones. El chip también podía contactar a las computadoras controladas por los atacantes en busca de más instrucciones y código
Actualmente Supermicro Inc vende más motherboards de servidor que nadie más. También domina el mercado de las motherboards usadas para equipos con propósitos especiales, desde equipos para resonancias magnéticas hasta sistemas de armas. Sus desarrollos se pueden encontrar en configuraciones de servidor hechas a pedido en bancos, proveedores de servicios en la nube y de alojamiento web, entre otros campos de la informática. Supermicro tiene instalaciones de ensamblaje en California, los Países Bajos y Taiwán, pero sus motherboards, su producto principal, son casi todas fabricadas por contratistas en China. Acorde a expertos en forense digital, Supermicro es como el Microsoft del hardware.
Antes de que surgiera evidencia concreta de este ataque, fuentes de inteligencia de EU informaron que la inteligencia china tenía planes de introducir microchips maliciosos en la cadena de suministro. No fue sino hasta mediados de 2014 que oficiales de inteligencia acudieron a la Casa Blanca con algo más concreto: el ejército de China se estaba preparando para insertar chips en las motherboards de Supermicro destinadas a las compañías estadounidenses.
Aunque la investigación sigue abierta y ninguna persona ha sido procesada como parte de las averiguaciones, expertos en forense digital de Instituto Internacional de Seguridad Cibernética advierten que lo más probable es que al concluir la investigación se llegue a la conclusión de que, en efecto, la inteligencia china ha comprometido la cadena de suministros de Supermicro para instalar hardware que les permitiría espiar a organizaciones americanas. El gobierno de EU continuará investigando estos hechos.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad