V posledních týdnech rozvířila debatu, nejen v kyberbezpečnostních kruzích, zpráva o tom, že více než 30 amerických společností bylo zasaženo kybernetickým útokem z Číny.
Tyto útoky spočívaly v tom, že na serverové základní desky od společnosti Supermicro, které tyto společnosti používaly ve svých serverech, byl přidaný v procesu výroby miniaturní čip, který reagoval na pokyny z internetu a mohl být následně zneužit na manipulaci v napadnutém serveru. Podle článku, který se zabýval tímto problémem, k přidání čipu došlo v procesu výroby u některých subdodavatelů společnosti Supermicro v Číně a celý proces byl řízen čínskými ozbrojenými silami.
Mezi napadenými společnostmi byli jmenováni i giganti Apple a Amazon. Jejich reakce na sebe však nedala dlouho čekat a do pár hodin společnosti útok poměrně silně popřely v oficiálních tiskových vyjádřeních. K článku se vyjádřila i samotná společnost Supermicro, která útok rezolutně popřela, ale ani to však nezabránilo pádu jejích akcií o polovinu. Chladné nezůstalo ani čínské ministerstvo zahraničních věcí, které též odmítlo jakoukoli čínskou účast na tomto útoku.
Následně se s odmítavými komentáři prezentovaly i další společnosti a kyberbezpečnostní experti. Tato vyjádření uklidnila situaci a ve většině odborné veřejnosti vládne konsenzus, že útok nebyl skutečný a šlo jen o nepodloženou senzaci. Navzdory tomu, že popisovaný útok skutečně fakticky nenastal, tato senzace aspoň na pár dní rozběhla diskusi o bezpečnosti hardwaru.
Supply-chain útoky vůči softwaru nejsou ničím novým. Nejznámějšími příklady těchto útoků je například nahrazení instalačních medií operačního systému během tranzitu americkými tajnými službami anebo útoky z minulého roku NotPetya, které začaly jako napadnutí softwarových aktualizací ukrajinského softwaru MeDoc.
Hardwaru se však doposud takové útoky vyhýbaly. I když se objevovaly zprávy o zejména čínských mobilních a IoT zařízeních, obsahujících špionážní software už z výroby, šlo stále jen o software na zařízeních, které se dají jednoduše zakázat a nevyužívat je. Ale jak lze zakázat servery v datacentrech nebo v cloudu? Důsledky by byly obrovské.
Dobrou zprávou je, že tyto útoky nejsou neodhalitelné. Jakmile v průběhu výroby dojde k modifikaci hardwaru, je velmi pravděpodobné, že způsobí nesrovnalosti v běhu zařízení, které se projeví v logovacích záznamech zařízení. Ještě lepším mechanizmem detekce těchto útoků je monitorování síťové komunikace napadnutého zařízení, ve kterém se projeví komunikace podvrhnutého čipu s útočníkem.
Služby bezpečnostního monitoringu a analýzy logovacích záznamů včetně síťové komunikace už dlouhou dobu patří do portfolia bezpečnostních dohledových center (SOC – Security Operations Center), které tak pomáhají svým klientům bránit se proti širokému spektru kybernetických hrozeb, a to včetně útoků typu supply-chain.
Dávid Kosť, Lead SOC Analyst, AXENTA a.s.