גילויים חדשים של חברת סייבר ישראלית על הפריצה הסינית לארה"ב

מלחמת הגרסאות בין חלקים שונים בממשל האמריקני וענקיות IT – לגבי פריצת הענק הסינית מקבלת תפנית מעניינת: ענקית טלקום בארה"ב, ששמה לא פורסם, גילתה כי בחומרה שהוטמעה ברשתות שלה, מתוצרת Super Micro, הושתלו רכיבים המכילים בתוכם רוגלות. הדבר נתגלה והשרתים הנגועים הוסרו באוגוסט האחרון. הממצא נחשף על ידי חברת הגנת סייבר ישראלית.

לפני ימים אחדים פרסם בלומברג-ביזנסוויק כי האקרים מטעם ממשלת סין החדירו שבב שאיפשר להם לרגל אחר מערכות IT ורשתות מחשבים ותקשורת של כמעט 30 חברות אמריקניות, ובהן אפל ואמזון, בנקים וחברות העובדות עם הממשל.

מומחה האבטחה יוסי אפלבאום, מ-Sepio Systems – שהיו"ר שלה הוא ראש המוסד לשעבר, תמיר פרדו – חשף בפני האתר הכלכלי מסמכים, ניתוח ועדויות נוספות בעקבות פרסום התחקיר. הוא פירט כיצד שירותי המודיעין של סין הזמינו קבלני משנה לשתול שבבים ובהם רוגלות – בלוחות השרתים של Super Micro על פני תקופה של שנתיים, שהסתיימה ב-2015.

אפלבאום, יוצא היחידה הטכנולוגית של חיל המודיעין, משמש כמנכ"ל משותף של ספיו – היושבת בגייטרסברג, מארילנד. החברה מתמחה בתחום אבטחת החומרה והיא נשכרה לסרוק כמה דטה סנטרים גדולים השייכים לחברת הטלקום. אז מקצועני האבטחה של ספיו גילו תקשורת חריגה מהשרת של סופר-מיקרו, ובדיקה פיזית חשפה השתלה של רכיב נגוע במחבר (קונקטור) האת'רנט של השרת, רכיב המשמש לחיבור של כבלי רשת למחשב.

בהתבסס על בדיקתו את השרת של חברת התקשורת, אפלבאום קבע כי הוא עבר שינוי במפעל שבו הוא יוצר. הוא סיפר כי נאמר לו על ידי אנשי ביון מערביים, שהרכיב יוצר במפעל של קבלן משנה של סופר-מיקרו, בעיר גואנגזו (קנטון), בדרום מזרח סין. גואנגזו נמצאת מרחק 90 קילומטרים מ-שנזן, המכונה "עמק הסיליקון של חומרה". שם יושבות ענקיות דוגמת Tencent ו-וואווי.

אפלבאום אמר שהוא ראה מניפולציות דומות שבוצעו על חומרת מחשב של יצרנים שונים שנעשו על ידי קבלני משנה בסין, לא רק באלה של סופר-מיקרו. לדבריו, "סופר-מיקרו היא קורבן – כך גם כולם". הוא הביע את חששו כי יש אינספור נקודות בשרשרת האספקה ​​בסין, שבהן ניתן לבצע את המניפולציות הזדוניות הללו, וכי גילוי שלהן, במקרים רבים – הוא בלתי אפשרי. "זאת הבעיה עם שרשרת האספקה ​​הסינית", אמר.

"בלומברג סיפק לנו מידע מוגבל בלבד"

סופר-מיקרו, היושבת בסן חוזה, קליפורניה, מסרה כי "האבטחה של הלקוחות שלנו ושלמות המוצרים שלנו מהווים את ערכי הליבה העסקית של החברה. אנו דואגים להבטיח את שלמות המוצרים שלנו לאורך כל תהליך הייצור ולאבטח את שרשרת האספקה. עדיין אין לנו מידע על רכיבים בלתי מורשים ולא נמסר לנו מלקוחות על מציאתם של רכיבים שכאלה. אנו מודאגים מכך שבלומברג סיפק לנו מידע מוגבל בלבד, בלא כל תיעוד, כדי שנוכל להגיב על ההאשמות החדשות".

שגרירות סין בוושינגטון לא חזרה בתגובה לדיווח החדש. בתגובה לתחקיר הקודם שפורסם לפני ימים אחדים, משרד החוץ הסיני לא התייחס ישירות לשאלות בנוגע למניפולציה על שרתי סופר-מיקרו, אך אמר כי "שרשרת האספקה ​​היא סוגיה של דאגה משותפת, וסין היא גם קורבן". ה-FBI סירב להגיב על השאלה אם הוא מודע לממצא החדש.

המניפולציה החדשה, המתוארת בכתבה זו, שונה מזו שתוארה בתחקיר של בלומברג-ביזנסוויק מלפני כמה ימים, אולם חולקת כמה מאפיינים מרכזיים דומים: שתי המניפולציות נועדו להעניק לתוקפים גישה בלתי-נראית לנתונים ברשת המחשוב שבה מותקן השרת; השינויים שנחשפו נעשו במפעל סיני, המשמש כקבלן משנה לתחום מסויים, דוגמת מפעל ללוחות אם של שרתים.

לדברי החוקרים, המתקפה שעליה דווח בשבוע שעבר הייתה משהו חמור בהרבה מאשר אירועי אבטחת מידע מבוססי תוכנה, להם אנו נחשפים פעמים רבות. פריצות מבוססות חומרה קשות יותר לנטרול, ופוטנציאל ההרס שלהן רב יותר. הן מבטיחות גישה לטווח ארוך למערכות – משהו שסוכנויות ביון היו מוכנות להשקיע בו שנים רבות ולשלם עליו מיליוני דולרים – כדי להשיג.

יש רק מדינה אחת בעולם שלה יש יתרון בביצוע סוג זה של מתקפה: סין, אשר מייצרת 75% מהטלפונים הניידים ו-90% מהמחשבים האישיים בעולם. אלא שכדי להצליח בכך, נדרשת הבנה עמוקה של עיצוב המוצר, ביצוע מניפולציות על הרכיבים במפעל, ולהבטיח כי ההתקנים הנגועים יעשו את דרכם לאורך שרשרת האספקה הלוגיסטית עד היעד הצפוי לריגול.