A Bloomberg revelou nesta quinta-feira, 4, detalhes de uma operação feita pelas forças armadas chinesas que infiltrou microchips em placas-mãe de servidores em data centers operados por dezenas de grandes corporações dos Estados Unidos, entre elas Amazon e Apple. O ataque foi descoberto em 2014 a partir de uma investigação sigilosa do governo norte-americano e que ainda não acabou.
Ao todo, 17 pessoas confirmaram a manipulação do hardware da Supermicro – empresa fabricante das placas-mãe – e outros elementos dos ataques. As fontes, entre elas altos funcionários da Amazon e da Apple, falaram sob a condição de anonimato por causa da natureza sensível da informação.
Um funcionário do governo disse à Bloomberg que o objetivo da China é o acesso de longo prazo a segredos corporativos de alto valor e a redes governamentais sensíveis. Ao que tudo indica, nenhum dado dos consumidores foi roubado.
Uma autoridade disse que os investigadores descobriram que o ataque teria afetado quase 30 empresas, incluindo um grande banco, empresas do governo e a Apple.
Segundo fontes da Bloomberg, a ideia teria nascido de uma unidade militar chinesa, que projetou e fabricou microchips tão pequenos quanto uma ponta de lápis afiada. Alguns dos chips foram construídos para se parecerem com acopladores de condicionamento de sinais. Mas tinham incorporados memória, capacidade de rede e poder de processamento computacional, o suficiente para um ataque.
Os microchips foram inseridos em fábricas chinesas fornecedoras da Supermicro. As placas-mãe comprometidas foram inseridas em servidores montados pela Supermicro. Os servidores sabotados entraram em data centers operados por dezenas de empresas. Quando um servidor era instalado e ligado, o microchip alterava o núcleo do sistema operacional para aceitar modificações. O chip também poderia entrar em contato com computadores controlados pelos invasores em busca de mais instruções e códigos.
Supermicro
A Super Micro é uma das maiores empresas de tecnologia. A gigante de computação tem sede em São José, na Califórnia, e conta com operações globais de manufatura em todo o mundo – incluindo a China, onde constrói a maioria de suas placas-mãe. Essas placas-mãe se espalham mundo afora, e foram usadas nos servidores de data centers da Amazon que alimentam sua nuvem Amazon Web Services (AWS) e o iCloud da Apple.
Com mais de 900 clientes em 100 países até 2015, a Super Micro ofereceu incursões a uma coleção abundante de alvos sensíveis. “Pense na Super Micro como a Microsoft do mundo do hardware”, disse um ex-funcionário de inteligência dos EUA que estudou a Super Micro e seu modelo de negócios para a reportagem da Bloomberg. “Atacar placas-mãe Super Micro é como atacar o Windows. É como atacar o mundo inteiro”, resumiu.
A Elemental
O chip para servidores da Elemental – supostamente adulterados por usarem as placas-mãe da Supermicro e cuja empresa foi comprada pela Amazon Web Services (AWS) – foi projetado para ser o mais discreto possível, de acordo com uma pessoa que viu um relatório detalhado preparado para a Amazon pelo seu fornecedor de segurança terceirizado, bem como uma segunda pessoa que teria visto fotos digitais e imagens de raios X dos chips incorporados em um relatório posterior, preparado pela equipe de segurança da Amazon. De cor cinza ou esbranquiçada, eles se pareciam mais com acopladores de condicionamento de sinal, outro componente comum da placa-mãe, mais do que os microchips, e, portanto, dificilmente seriam detectáveis sem equipamento especializado. Dependendo do modelo da placa, os chips variariam ligeiramente em tamanho, sugerindo que os atacantes haviam fornecido diferentes fábricas com diferentes lotes.
Tão pequeno e tão danoso
A reportagem de Jordan Robertson e Michael Riley explica que, como os implantes eram pequenos, a quantidade de código que eles continham também era pequena. Mas eles eram capazes de fazer duas coisas muito importantes: dizer ao dispositivo para se comunicar com um dos vários computadores anônimos em outros lugares da Internet, e que estavam carregados com código mais complexo; e preparar o sistema operacional do dispositivo para aceitar esse novo código.
Os chips ilícitos poderiam fazer tudo isso porque estavam conectados ao controlador de gerenciamento da placa base, um tipo de superchip que os administradores usam para fazer acesso remoto em servidores problemáticos, dando acesso ao código mais sensível mesmo em máquinas que falharam ou foram desligadas.
Esse sistema poderia permitir que os invasores alterassem a maneira como o dispositivo funcionava, ponta a ponta, como desejavam. Para entender o poder que lhes daria, os jornalistas dão um exemplo hipotético: em algum lugar no sistema operacional Linux, que é executado em muitos servidores, está o código que autoriza um usuário, verificando uma senha digitada em relação a uma criptografada armazenada. Um chip implantado pode alterar parte desse código para que o servidor não verifique a senha. Assim, uma máquina segura está aberta a todos e quaisquer usuários.
Um chip também pode roubar chaves de criptografia para comunicações seguras, bloquear atualizações de segurança que neutralizariam o ataque e abrir novos caminhos para a Internet. Se alguma anomalia for notada, provavelmente seria uma estranheza inexplicável. “O hardware abre a porta que quiser”, disse para o Bloomberg Joe FitzPatrick, fundador da Hardware Security Resources LLC empresa que treina profissionais de segurança cibernética em técnicas de hacking de hardware.
Autoridades dos EUA pegaram a China experimentando adulteração de hardware antes, mas nunca viram nada dessa escala e ambição. A segurança da cadeia global de suprimentos de tecnologia foi comprometida, mesmo que os consumidores e a maioria das empresas ainda não soubessem disso. O que restava para os investigadores aprenderem era como os invasores haviam se infiltrado tão completamente no processo de produção da Supermicro – e quantas portas eles abriram nos alvos americanos.