Un ataque de espías chinos llegó a casi 30 empresas estadounidenses, entre ellas Amazon y Apple, al comprometer la cadena de suministro de tecnología de Estados Unidos, de acuerdo con información compartida por fuentes gubernamentales y corporativas.
En 2015, Amazon comenzó a evaluar una nueva empresa llamada Elemental Technologies, una posible adquisición para ayudar con una importante expansión de su servicio de transmisión de video, Amazon Prime Video. Con sede en Portland, Elemental hizo un software para comprimir archivos de video masivos y formatearlos para diferentes dispositivos.
Para ayudar con la diligencia debida, AWS, que estaba supervisando la posible adquisición, contrató a una compañía de terceros para que examinara la seguridad de Elemental, según una persona familiarizada con el proceso. En la primera revisión se descubrieron problemas, lo que llevó a AWS a observar más detenidamente el producto principal de Elemental: los servidores que los clientes instalaron en sus redes para manejar la compresión de video, estos servidores fueron ensamblados para Elemental por Super Micro Computer Inc. A fines de la primavera de 2015, el personal de Elemental encajó varios servidores y los envió a Ontario, Canadá, para que la compañía de seguridad de terceros los probara, dice la persona.
Anidados en las placas base de los servidores, los evaluadores encontraron un pequeño microchip, no mucho más grande que un grano de arroz, que no formaba parte del diseño original de las tablas. Amazon informó sobre el descubrimiento a las autoridades de EE. UU., lo que generó un estremecimiento en toda la comunidad de inteligencia; los servidores de Elemental se pueden encontrar en los centros de datos del Departamento de Defensa, las operaciones de aviones no tripulados de la CIA y las redes a bordo de los buques de guerra de la Armada.
Durante la investigación secreta que siguió y que permanece abierta más de tres años después, los investigadores determinaron que los chips permitieron a los atacantes crear una puerta oculta en cualquier red que incluyera las máquinas alteradas. Múltiples personas familiarizadas con el asunto dicen que los investigadores descubrieron que los chips habían sido insertados en fábricas dirigidas por subcontratistas en China.
Este ataque fue algo más grave que los incidentes basados en software que el mundo está acostumbrado a ver. Los trucos de hardware son más difíciles de lograr y potencialmente más devastadores, además, prometen el tipo de acceso sigiloso a largo plazo en el que las agencias de espionaje están dispuestas a invertir millones de dólares.
Hay dos maneras en que los espías pueden alterar las entrañas de los equipos informáticos:
- La primera, conocida como interdicción, consiste en manipular dispositivos cuando están en tránsito desde el fabricante hasta el cliente.
- La segunda, implica cambios de siembra desde el principio. Un país en particular tiene una ventaja en la ejecución de este tipo de ataque: China, que según algunas estimaciones representa el 75 % de los teléfonos móviles del mundo y el 90 por ciento de sus PC. Sin embargo, lograr un ataque de siembra en realidad significaría desarrollar una comprensión profunda del diseño de un producto, manipular los componentes en la fábrica y asegurar que los dispositivos manipulados hayan llegado a través de la cadena logística global a la ubicación deseada.
Los investigadores de Estados Unidos encontraron que los chips fueron insertados durante el proceso de fabricación – de acuerdo con dos funcionarios - por agentes de una unidad del Ejército Popular de Liberación.
De acuerdo con un funcionario, los investigadores descubrieron que eventualmente afectó a casi 30 compañías, incluyendo un banco importante, contratistas del gobierno y la compañía más valiosa del mundo, Apple Inc. Apple era un cliente importante de Supermicro.
En declaraciones enviadas por correo electrónico, Amazon, Apple y Supermicro disputaron los resúmenes de los informes de Bloomberg Businessweek.
"Es falso que AWS supiera sobre un compromiso de la cadena de suministro, un problema con chips maliciosos o modificaciones de hardware al adquirir Elemental", escribió Amazon.
"En esto podemos ser muy claros: Apple nunca ha encontrado chips maliciosos, manipulaciones de hardware o vulnerabilidades plantadas a propósito en ningún servidor", escribió Apple.
"No tenemos conocimiento de ninguna investigación de este tipo", escribió un portavoz de Supermicro, Perry Hayes. El gobierno chino no abordó directamente las preguntas sobre la manipulación de los servidores de Supermicro, solamente emitió una declaración que decía, en parte, que "la seguridad de la cadena de suministro en el ciberespacio es un tema de preocupación común, y China también es una víctima".
El FBI y la Oficina del Director de Inteligencia Nacional, en representación de la CIA y la NSA, declinaron hacer comentarios.
En total, 17 personas confirmaron la manipulación del hardware de Supermicro y otros elementos de los ataques. Un funcionario del gobierno dice que el objetivo de China es el acceso a largo plazo a secretos corporativos de alto valor y redes gubernamentales sensibles. No se sabe que los datos de los consumidores hayan sido robados.
{{cta('97f6c714-3d5f-4f4b-a8c4-bbb34ce4bf71')}}
Los funcionarios familiarizados con la investigación dicen que la función principal de los implantes como estos es abrir puertas que otros atacantes puedan atravesar. "Los ataques de hardware tienen que ver con el acceso", como lo expresó un ex funcionario de alto rango. En términos simplificados, los implantes en el hardware de Supermicro manipularon las instrucciones de operación principales que le dicen al servidor qué hacer cuando los datos se mueven a través de una placa base, dicen dos personas familiarizadas con la operación de los chips. Esto sucedió en un momento crucial, ya que pequeños bits del sistema operativo se almacenaban en la memoria temporal de la placa en ruta al procesador central del servidor, la CPU. El implante se colocó en la placa de manera que le permitiera editar efectivamente esta cola de información, inyectando su propio código o alterando el orden de las instrucciones que debía seguir la CPU.
Como los implantes eran pequeños, la cantidad de código que contenían también era pequeña. Pero fueron capaces de hacer dos cosas muy importantes: decirle al dispositivo que se comunique con una de varias computadoras anónimas en otro lugar que se cargaron con un código más complejo. Los chips ilícitos podían hacer todo esto porque estaban conectados al controlador de administración de la placa base. Este sistema podía permitir a los atacantes alterar cómo funcionaba el dispositivo, línea por línea, sin que nadie se diera cuenta.
Mientras los agentes monitoreaban las interacciones entre los funcionarios chinos, los fabricantes de placas base y los intermediarios, vislumbraron cómo funcionaba el proceso de siembra. En algunos casos, los gerentes de planta fueron contactados por personas que decían representar a Supermicro o que tenían cargos que sugerían una conexión con el gobierno. Los intermediarios solicitarían cambios en los diseños originales de las placas base, inicialmente ofreciendo sobornos junto con sus solicitudes inusuales. Si eso no funcionaba, amenazaban a los gerentes de fábrica con inspecciones que podrían cerrar sus plantas. Una vez que los arreglos estaban en su lugar, los intermediarios organizarían la entrega de los chips a las fábricas.
Los investigadores concluyeron que este complejo esquema era el trabajo de una unidad del Ejército Popular de Liberación que se especializa en ataques de hardware, según dos personas informadas sobre sus actividades. La existencia de este grupo nunca se ha revelado antes, pero un funcionario dijo: "Hemos estado rastreando a estos individuos durante más tiempo del que nos gustaría admitir". Se cree que la unidad se enfoca en objetivos de alta prioridad, incluidos los comerciales avanzados.
Cómo funcionó el hackeo, según los funcionarios de los Estados Unidos
- Una unidad militar china diseñó y fabricó microchips tan pequeños como una punta de lápiz afilada. Algunos de los chips se construyeron para que parecieran acopladores de acondicionamiento de señal, e incorporaron memoria, capacidad de red y suficiente capacidad de procesamiento para un ataque.
- Los microchips se insertaron en las fábricas chinas que suministraban a Supermicro, uno de los vendedores más grandes de placas base para servidores.
- Las placas madre fueron construidas en servidores ensamblados por Supermicro.
- Los servidores saboteados se abrieron paso dentro de los centros de datos operados por docenas de compañías.
- Cuando se instaló y encendió un servidor, el microchip modificó el núcleo del sistema operativo para que pudiera aceptar modificaciones. El chip también podría contactar a las computadoras controladas por los atacantes en busca de más instrucciones y código.
{{cta('ca35bcab-76ee-41a6-96ee-53f03034a25e')}}
