Tien jaar lang misbruikten Chinese hackers hard- en software van Supermicro om gevoelige gegevens te stelen. De VS waren op de hoogte, maar hielden de ontdekking geheim om zo een counterspionage-actie op te zetten.
Supermicro werd de afgelopen tien jaar meermaals het slachtoffer van geavanceerde cyberspionage-acties uitgevoerd door Chinese inlichtingendiensten. De Amerikaanse fabrikant van moederborden voor onder andere servers deed dienst als vector voor spionnen die informatie van Amerikaanse overheidsdiensten en bedrijven wilden stelen. De aanvallen waren erg geavanceerd. Niet alleen werd software aangetast via officiële updates; de Chinezen slaagden er ook in om de hardware zelf te modificeren.
Bevestiging van eerder onderzoek
Bloomberg brengt de zaak aan het licht op het gezag van meer dan 50 bronnen, waarvan de meesten anoniem willen blijven maar niet allemaal. De publicatie bouwt met zijn onthullingen verder op een eerder verschenen onderzoek uit 2018. Toen ontdekten journalisten dat Supermicro het slachtoffer was van een enkele succesvolle supply chain-aanval waarbij kleine chips op de moederborden werden bijgeplaatst. Dat artikel kreeg heel wat kritiek en alle betrokken partijen ontkenden halsstarrig dat het enige vorm van waarheid bevatte.
lees ook
Chinese spionagechips in servers: wat is er aan de hand en hoever reiken de gevolgen?
De nieuwe revelaties tonen aan dat Bloomberg niet enkel gelijk had, maar dat het verhaal nog een stuk verder gaat. De VS zelf zouden al sinds 2010 op de hoogte zijn van beveiligingsproblemen bij Supermicro, maar de inlichtingendiensten kozen ervoor om die informatie niet met het publiek te delen.
Pentagon-hack
Eén van de belangrijkste bevindingen van het onderzoek van Bloomberg draait rond een hack van servers van het Pentagon in 2010. Chinese aanvallers waren er in geslaagd om servers te compromitteren via een geavanceerde hardware-aanval. Ze plaatsten een schijnbaar ongebruikt stukje geheugen bij het bestaande BIOS-geheugen en injecteerden daarin code die werd geladen telkens een server werd opgestart. De malafide code zette servers ertoe aan om iedere paar weken informatie over zichzelf en het netwerk naar China te sturen.
Chinese hackers injecteerden code die werd geladen telkens een server werd opgestart.
De VS vonden de aanpassingen op verschillende moederborden terug, gefabriceerd op verschillende locaties. Dat wees op een compromittering tijdens de designfase van de moederborden met medewerking van werknemers van Supermicro. De Amerikaanse inlichtingendienst besloot om het hack met onzichtbare tegenmaatregelen te counteren en verder intact te laten. Zo hoopten ze de capaciteiten van China verder te bestuderen.
In navolging van de aanval werd Supermicro subtiel geweerd uit aanbestedingen voor hardware in gevoelige locaties, al blijft de fabrikant tot vandaag op de lijst met toegestane vendoren staan.
Supply chain-aanvallen
In 2014, 2015 en 2018 vonden er dan weer supply chain-aanvallen plaats via het update-portaal van Supermicro. De aanvallers knoeiden met de updatebestanden en injecteerde zo heel gericht malware op specifieke servers. Die openende een achterpoortje voor Chinese hackers.
Bloomberg staaft de bevindingen met getuigenissen van experts bij de getroffen bedrijven en betrokken inlichtingendiensten. Het weet onder andere dat werknemers van Supermicro onderzocht werden door de FBI maar kan niet bevestigen of dat onderzoek nog loopt.
Bevestiging van geknoei met hardware
De VS zouden verder selecte bedrijven gewaarschuwd hebben van problemen met Supermicro-hardware. Het gaat om doelwitten van de Chinese hackers. Ook dat wordt bevestigd, onder andere door Mukul Kumar. Hij was CFO voor chipdesigner Altera, die sindsdien is overgenomen door Intel. “Er was spionage op de moederborden zelf”, zegt hij. “Er was een chip op het bord die er niet moest zijn en die naar huis belde, niet naar Supermicro maar naar China.” Kumar geeft verder aan dat collega’s bij andere organisaties in Silicon Valley dezelfde waarschuwing kregen van de FBI.
Er was een chip op het bord die er niet moest zijn en die naar huis belde, niet naar Supermicro maar naar China.
Mukul Kumar, voormalig CFO Altera
Ondanks het gedetailleerde relaas van Bloomberg, het veelvoud aan bronnen en de betrokkenen die wel met naam en toenaam hun relaas doen, ontkent Supermicro alles. De FBI en NSA houden het op ‘geen commentaar’. Supermicro noemt het verhaal van Bloomberg “een allegaartje van foute en onnauwkeurige beschuldigingen. Het trekt vergezochte conclusies de niet getoetst kunnen worden.”
De ontkenning sluit deels aan bij het verhaal dat Bloomberg zelf neerzet. In het kader van de counterspionageplannen van de VS werd vrijwel niemand ingelicht. Het is dus mogelijk dat Supermicro daadwerkelijk niet op de hoogte is.
Ook Lenovo
Bloomberg waarschuwt er in zijn onderzoek voor dat het niet de bedoeling is om één fabrikant te viseren, maar eerder om aan het publiek duidelijk te maken dat dergelijke geavanceerde aanvallen mogelijk zijn en al vele jaren gebeuren. Om dat punt kracht bij te zetten, verwijst het stuk naar een voorval in 2008.
Toen bleek dat Amerikaanse soldaten in Irak Lenovo-laptops gebruikten met daarin aangepaste hardware. Die bevinding werd in 2010 grondig onderzocht en het resultaat van dat onderzoek is publiek beschikbaar, al bleef het voorval lang onder de radar.
“Een grote hoeveelheid Lenovo-laptops werd verkocht aan het leger van de VS, met daarin een versleutelde chip op het moederbord die alle data die in de laptop werden ingevoerd capteerde, en naar China verzond”, zegt Lee Chieffalo, die verantwoordelijk was voor de netwerk-IT van de Amerikaanse Mariniers in Irak tijdens een onderzoek in 2010. “Dat was een enorm beveiligingslek. We weten niet hoeveel data ze bemachtigd hebben, maar moesten alle systemen van het netwerk halen.”
Complexe aanvallen als realiteit
Waar het onderzoek in 2018 nog heel wat vragen onbeantwoord liet, laat dit nieuwe stuk weinig aan de verbeelding over. De grondige analyse, het veelvoud aan bronnen en het handvol specialisten dat beschuldigingen met naam en toenaam durft te bevestigen, toont aan dat er wel degelijk een Chinese hack-campagne aan de gang was en dat Supermicro centraal stond.
lees ook
SolarWinds-aanval is het werk van meer dan 1.000 ontwikkelaars
Het verhaal illustreert de kwetsbaarheid van organisaties voor supply chain-aanvallen, al is dat na het SolarWinds-hack een gegeven. Met het onderzoek laat Bloomberg zien dat SolarWinds geen uitzondering was en gelijkaardige en minstens even complexe aanvallen al meer dan een decennia lang bezig zijn. Voor het volledige verhaal verwijzen we graag door naar het onderzoek van Bloomberg zelf.