Bereits 2015 haben Apple und Amazon winzige Spionage-Chips auf den Mainboards ihrer Cloud-Server entdeckt, laut dem US-Wirtschaftsmagazin Bloomberg Businessweek. Diese können Hintertüren auf den Servern öffnen und wurden in den Fabriken chinesischer Zulieferer des Herstellers Supermicro direkt auf die Boards gelötet. Die chinesischn Volksbefreiungsarmee ist für den beispiellosen Lauschangriff auf tausende Cloud-Server verantwortlich. US-Geheimdienste ermitteln demnach in dem Fall.

Bloomberg ist sich seiner Sache sicher, obwohl Apple, Amazon, Supermicro und die beteiligten Regierungen alles kategorisch bestreiten, und beruft sich auf insgesamt 17 anonyme Quellen in der US-Regierung und bei den Hardware-Herstellern.

Aus dem Bericht lässt sich nicht ableiten, wie genau die von den Chips geöffnete Hintertür funktioniert. Die Beschreibung könnte darauf hindeuten, dass der Chip die Firmware des System-on-a-Chips manipuliert, das auf dem Server-Mainboard Fernwartungsfunktionen bereitstellt (Baseboard Management Controller, BMC). Laut Beschreibung sehen die Chips aus wie SMD-Übertragerbausteine.

Der etwa reiskorngroße Spionage-Chip ist demnach an einer unauffälligen Stelle des Boards angebracht und interagiert mit Datenströmen auf eine Art, die es ihm erlaubt, seine Präsenz an Server der Drahtzieher zu melden. Zusätzlich soll er die Möglichkeit bereitstellen, auf den Opfer-Server zuzugreifen und so den Hackern die Möglichkeit geben, Daten abzuleiten.

Anhand des Berichts ist nicht zu erkennen ob die Kontrollserver im lokalen Netz des Datencenters oder im Internet zu finden sind. Aufgrund von verdächtigen Netzwerkverkehrs und von Firmware-Unregelmäßigkeiten hat Apple die Chips entdeckt. Beim Audit einer externen Sicherheitsfirma ist der Chip bei Amazon aufgefallen.

Bei Ermittlungen in China konnte nachverfolgt werden, wie Agenten und Mittelsmänner der Militär-Geheimeinheit Fabrikvorarbeiter und -besitzer bestochen und bedroht hätten, um die Chips auf die Mainboards zu bekommen. Die Chips wurden direkt in die Fabrik geliefert und dort unauffällig zwischen anderen Arbeitsschritten auf die Platinen aufgebracht worden.

Dabei handelt es sich bei der Entdeckung wahrscheinlich um die größte Enthüllung im Bereich der IT-Spionage seit den Snowden-Dokumenten, sollte sich der Bloomberg-Bericht trotz der Dementis der beteiligten Firmen und Regierungen bewahrheiten. Damals war zwar unter anderem bekannt geworden, dass die NSA Hardware auf dem Postweg abfängt und manipuliert, die Supermicro-Geschichte zieht allerdings die komplette Zulieferkette (Supply Chain) der US-Technologieunternehmen in Zweifel.

Europäische und US-amerikanische Hersteller müssen auf einen Schlag die eigenen Produkte als suspekt betrachten, wenn es sich bewahrheitet, dass chinesische Geheimdienste winzige Spionage-Chips unbemerkt direkt in der Fabrik in die Hardware einbringen. Besonders da der Bloomberg-Bericht andeutet, dass bereits viel kleinere Chips als die als SMD-Übertragerbausteine getarnten im Einsatz sind. Diese neuen Chips werden danach angeblich direkt zwischen einzelne Platinenlagen des Boards integriert und sind kaum noch zu finden.

Im Rahmen des Open Compute Project (OCP) gibt es mehrere Initiativen, die auf die Härtung von Servern gegen manipulierte Firmware zielen. Google (Titan/H1) und Microsoft (Cerberus) entwickeln eigene Sicherheitschips, die unter anderem kryptografische Signaturen von BIOS und BMC-Firmware prüfen. Das Projekt Open System Firmware (OSF) bemüht sich um offengelegte BIOS-Alternativen und bei OpenBMC geht es um offene Firmware für BMC-Chips wie die verbreiteten Aspeed AST2400/AS2500. Das US-Militär wiederum versucht seit Jahren, den Schutz vor gefälschten Chips (Counterfeit Parts) zu verstärken.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE