Chinese spionagechips in servers: wat is er aan de hand en hoever reiken de gevolgen?

China zou servermoederborden van Supermicro in de fabriek hebben aangepast met spionagechips, waardoor het toegang kreeg tot servers van onder andere Amazon, Apple en misschien zelfs de Amerikaanse overheid. Wat betekent dit hack voor de beveiliging van het IT-landschap?

Eind vorige week zette Bloomberg de IT-beveiligingswereld op z’n kop. In een spraakmakend artikel schetste de publicatie hoe een speciale afdeling van het Chinese leger zich via omkoperij en afpersing zou hebben binnengewerkt in enkele Chinese fabrieken die servermoederborden produceren in opdracht van het Amerikaanse Supermicro. In die fabrieken zou het moederborden gemodificeerd hebben met een krachtige maar kleine chip, niet groter dan een rijstkorrel en vermomd om er uit te zien als een normaal onderdeel van het moederborddesign.

De chip deed dienst als hardwarematige achterdeur en was zo geplaatst dat hij de controle over de hele server kon overnemen. De chip zat bij de Baseboard Management Controller (BMC) verscholen. De BMC geeft administrators toegang tot servers voor diagnostiek, en dat met vrijwel onbeperkte rechten. De minichip was volgens het rapport in staat om de communicatie tussen de BMC en het servergeheugen te onderscheppen en aan te passen. Zo was het in theorie mogelijk om instructies tot op OS-niveau en zelfs verder aan te passen om zo naar believen malware te injecteren of data te stelen.

 

Chinese spionagechip - Bloomberg
Beeld: Bloomberg Businessweek

Supermicro is een marktleider in de productie van serverhardware. Moederborden van de fabrikant zijn over de hele wereld terug te vinden, inclusief in datacenters van Amazon Web Services en Apple. Zelfs de Amerikaanse overheid maakt gebruik van Supermicro-hardware. Via het hack waren de Chinezen in staat om mee te kijken naar wat er zich op de servers afspeelde, met als vermoedelijke doel om zo aan bedrijfsspionage op het hoogste niveau te doen.

We moeten ons drie vragen stellen bij het verhaal: is het waar, wat zijn de implicaties, en wat kan je als bedrijf doen?

Is het waar?

Het rapport van Bloomberg lijkt waterdicht. De auteurs citeren meer dan tien bronnen en halen heel wat geloofwaardige elementen aan om hun verhaal kracht bij te zetten. Bovendien is Bloomberg een heel betrouwbaar medium dat niet over één nacht ijs gaat bij de publicatie van een dergelijk verhaal.

Toch zijn er vraagtekens. Om te beginnen ontkennen Amazon en Apple het hele verhaal in heel sterke en algemene bewoordingen. Wat Bloomberg zegt, zou volgens hen nooit hebben plaatsgevonden. Dat is frappant, aangezien het voor een beursgenoteerd bedrijf illegaal is om over zoiets te liegen. Je zou een voorzichtiger statement verwachten, met nuances die ruimte laten voor twijfel. Dat de twee bedrijven, nota bene de grootste ter wereld, dat per grote uitzondering niet doen, kunnen we niet naast ons neerleggen.

 

“Het is erg vreemd dat Apple en Amazon ontkennen.”

 

“Het is erg vreemd dat Apple en Amazon ontkennen”, vindt ook Christof Jacques, Senior Security Engineer bij beveiligingsbedrijf Check Point Technologies. Hij ziet enkele praktische vraagtekens. “De kleine chip zou het besturingssysteem op servers kunnen overnemen, maar hoe kan een aanvaller vooraf weten welk OS überhaupt op de server zal worden geïnstalleerd? Hoe gaat hij om met de specifieke uitdagingen van tientallen verschillende Linux-distributies?”

Ook Eddy Willems, Cyber Security Expert bij G Data, stelt zich vragen: “Ik vind het verhaal onvoldoende technisch onderbouwd. Niet alles wat in het artikel staat, lijkt me realistisch.” Willems houdt rekening met een politiek spel. “De Amerikaanse overheid probeert al jaren om Chinese fabrikanten zoals Huawei en ZTE in diskrediet te brengen, en dit verhaal zet die beweringen kracht bij. Dat op zich wil natuurlijk niet zeggen dat het niet klopt.”

Jacques en Willems zijn het er wel over eens dat het verhaal op z’n minst in theorie perfect realistisch is. Jacques: “Ik wil in het midden laten of het hack helemaal gebeurd is zoals beschreven door Bloomberg, maar ik ben er wel van overtuigd dat dit of iets heel gelijkaardigs absoluut mogelijk is.” Wat het verhaal zo uniek maakt is de toevoeging van een hardwarecomponent, maar software-aanvallen op de supply chain gebeuren al geruime tijd en lijken steeds populairder te worden. We contacteerden Willems terwijl hij de Virus Bulletin 2018-conferentie in Montreal bijwoonde, en hij beaamt dat. “Software-aanvallen waarbij de logistieke ketting gecompromitteerd wordt, zijn beslist een trend van de laatste jaren. Het onderwerp komt hier uitgebreid aan bod.”

Maar is het verhaal van Bloomberg nu waar of niet? Jacques vindt het moeilijk om zich hierover uit te spreken, maar acht het zeker plausibel. Willems denkt dat het artikel van Bloomberg vermoedelijk niet helemaal accuraat is, maar dat de essentie van een Chinese aanval op de supply chain van Supermicro vermoedelijk wel klopt.

Wat zijn de implicaties

Het verhaal is dus hoogstwaarschijnlijk minstens voor een deel waar en illustreert in ieder geval een trend waarbij logistieke ketens het doel worden van steeds geavanceerdere aanvallen. De supply chain is dus kwetsbaar, en dat is een probleem.

“Het hardwarehack is schrikwekkend omdat het aantoont dat China zich toegang kan verschaffen tot de logistieke ketting van de hardwareproductie en daar verregaande wijzigingen kan doorvoeren”, weet Jacques. “Hardware wordt over de hele wereld ontwikkeld, maar de productie zit voor 90 procent in China.” In theorie is zowat ieder stuk hardware van iedere fabrikant dus kwetsbaar voor Chinese inmengingen.

Willems gaat nog een stapje verder. “Als het de Chinezen niet zijn, dan zouden de Amerikanen volgens mij net hetzelfde doen”, vreest hij. Persoonlijk maakt hij een nogal cynische afweging. “Als ik kan kiezen, word ik liever in de gaten gehouden door de VS dan door China.” Willems houdt die overweging in het achterhoofd wanneer hij bijvoorbeeld naar de winkel stapt voor een nieuwe smartphone.

 

“Als het de Chinezen niet zijn, dan zouden de Amerikanen volgens mij net hetzelfde doen.”

 

Hij denkt dat het misschien mogelijk, maar zeker niet eenvoudig is om hardware te controleren op aanpassingen. “Misschien evolueren we wel naar een gestandaardiseerd systeem waarbij de logistieke ketting erg strak in het oog wordt gehouden aan de hand van allerhande procedures en certificaten, naar analogie met de voedselsector.” Jacques denkt dat zoiets in de praktijk erg moeilijk wordt: “Het is een beter idee om er rekening mee te houden dat een hack kan gebeuren, en je beveiliging erop af te stemmen.”

Bedrijven en overheden moeten zich in ieder geval realiseren dat het cyberlandschap is veranderd en hardware vandaag misschien aangetast kan zijn door buitenlandse mogendheden, nog voor de onderdelen uit hun doos zijn. Wie aan het einde van de ketting zit, kan daar weinig aan doen.

“De realiteit is dat we voor hardware-aankopen afhankelijk zijn van de markt, met alle risico’s van dien”, beaamt ook Jan-Frans Lemmens van Smals, de organisatie die zich bezighoudt met de IT van de Belgische overheid. “Dat geldt niet alleen voor ons land, maar blijkbaar ook voor internetgiganten als Apple en Amazon.” Veel manoeuvreerruimte is er niet, zeker niet bij de overheid.

“We bouwen in onze aankopen wel ernstige kwalitatieve criteria in, maar we moeten de wetgeving rond overheidsopdrachten natuurlijk respecteren.”, verduidelijkt Lemmens. “Het lijkt me erg moeilijk, zo niet onmogelijk, om met dit soort twijfels of vermoedens rekening te houden. Vandaag gaat het over Supermicro, maar als het verhaal klopt, kunnen andere constructeurs net zo goed kwetsbaar zijn. Bovendien zit het gros van de productie van basiscomponenten momenteel in China. Tot slot hebben andere landen wellicht ook de kennis om een gelijkaardige aanval op poten te zetten.”


Lees dit: Supply chain nieuwe zwakke schakel in cybersecurity voor bedrijven


Willems valt hem bij. “Het is bijna niet te doen om er als bedrijf of grote organisatie rekening mee te houden in de aankoop van onderdelen”, vreest hij. “Al is het wel een goed idee om te beseffen dat het internet vandaag meer dan ooit onderhevig is aan geopolitieke factoren, en staten er niet voor terugschrikken om zich te laten gelden.” Dat is iets waar ook Jacques al geruime tijd voor waarschuwt: “Het dreigingslandschap is sterk veranderd tegen vroeger. Staten en grote cybercriminele organisaties spelen een grotere rol dan ooit.”

Wat kan je doen?

Het Bloomberg-verhaal is dus een illustratie van een nieuwe realiteit in het cyberlandschap, waar je als onderneming of zelfs overheid maar weinig tegen kan beginnen. Ben je dan een vogel voor de kat? Jacques benadrukt van niet. “De technologie om een organisatie te beschermen tegen aangetaste hardware bestaat al, en werkt goed”, benadrukt hij. “Concreet moet je voor een brede bescherming kiezen. Zodra de hardware van een server is aangetast, kan je de software ook niet meer vertrouwen. Endpointbeveiliging is dus niet in staat om hier redding te bieden. Eén domein binnen je infrastructuur blijft wel gevrijwaard: het netwerk.”

“Hoe geavanceerd een hack ook is, enkele factoren blijven altijd gelijk. Zo moeten zelfs de hardwarechips op de Supermicro-moederborden communiceren met de command & control-servers van waaruit ze bestuurd worden. Bovendien moet gestolen data naar buiten gesluisd worden om waardevol te zijn. Die communicatie verloopt via het netwerk. Door de netwerktrafiek in detail te analyseren, kan je onregelmatigheden ontdekken. Zo moet een geïnfecteerde server regelmatig inchecken bij de C&C-server. Dat verkeer kan met beveiligingssoftware vandaag eenvoudig worden gedetecteerd en geblokkeerd.”

 

Het Bloomberg-verhaal is een illustratie van een nieuwe realiteit in het cyberlandschap.

 

Volgens Jacques is het dus een kwestie van kiezen voor de juiste beveiliging, en die vervolgens ook goed te gebruiken. “Ik zie heel wat ondernemingen die wel toegang hebben tot bijvoorbeeld diepgaande monitoring van het netwerk, maar die de functie niet inschakelen.” Andere experts betwijfelen evenwel of zelfs netwerkbeveiliging wel in staat zou zijn om de beperkte trafiek naar de C&C-server vlot te detecteren.

Een laatste redmiddel is micro-segmentatie. “Zelfs in datacenters, waar servers in theorie dezelfde rechten hebben, is het verstandig om de infrastructuur te segmenteren. In combinatie met software defined networking is het zo mogelijk om infecties te beperken tot een handvol servers, zonder dat één enkel gesaboteerd Supermicro-moederbord toegang geeft tot het hele datacenter.”

De aanpak kadert in een visie die we steeds vaker horen. Geen enkele beveiliging is honderd procent waterdicht. Een goed beveiligingsbeleid kan er wel toe bijdragen dat een aanval snel gedetecteerd wordt, en de schade zo beperkt mogelijk blijft. Hoewel het Supermicro-verhaal omwille van de vermeende hardwaremanipulatie tot de verbeelding spreekt, verandert dat weinig aan de essentie. Veel lekker dan een hardwarematig gecompromitteerde server zal je niet snel vinden, maar ook zo’n enorm lek kan met bestaande tools gedetecteerd en gemitigeerd worden. De belangrijkste implicatie van heel dit verhaal heeft daarom misschien minder te maken met de aanval an sich en meer met de manier waarop het internet steeds meer het strijdtoneel van internationale grootmachten wordt.


Disclaimer: Michaël Aussems werkt als freelance-redacteur voor Techzine en is verder actief als copywriter voor pr- en communicatiebureau Whizpr, dat verschillende klanten uit de security- en serversector in zijn portfolio heeft. Dit stuk is zoals alle andere stukken met volledige redactionele onafhankelijkheid geschreven.