Comment le PCC a piraté les institutions Américaines

Traductrice : Charline#9304
Corriger : Jean Michel

Pendant des années,desenquêteurs américains ont découvert une falsification de produits fabriqués par SuperMicro  Computer Inc. La société qffirme ne jamais avoir été informée. Le public non plus

En 2010, le département américain de la Défense a trouvé des milliers de ses serveurs informatiques envoyant des données de réseau militaire vers la Chine – résultat d’un code caché dans des puces qui géraient le processus de démarrage des machines.

En 2014, Intel Corp. a découvert qu’un groupe de piratage chinois d’élite avait violé son réseau via un serveur unique qui téléchargeait des logiciels malveillants depuis le site de mise à jour d’un fournisseur.

Et en 2015, le FBI a averti plusieurs entreprises que des agents chinois avaient caché une puce supplémentaire chargée de code pirate dans les serveurs d’un fabricant.

Chacune de ces attaques distinctes avait deux choses en commun: la Chine et Super Micro Computer Inc., un fabricant de matériel informatique à San Jose, en Californie. Ils partageaient un autre trait; Les maîtres espions américains ont découvert les manipulations mais les ont gardées largement secrètes en essayant de les contrer et d’en apprendre davantage sur les capacités de la Chine.

 L’exploitation par la Chine des produits fabriqués par Supermicro, comme la société américaine est connue, a fait l’objet d’un contrôle fédéral pendant une grande partie de la dernière décennie, selon 14 anciens responsables de l’application de la loi et du renseignement familiers avec la question.

Cela comprenait une enquête de contre-espionnage du FBI qui a commencé vers 2012, lorsque des agents ont commencé à surveiller les communications d’un petit groupe de travailleurs de Supermicro, en utilisant des mandats obtenus en vertu de la loi sur la surveillance des renseignements étrangers, ou FISA, selon cinq des responsables.

On ne sait pas si cette enquête se poursuit, tout comme un compte rendu complet de ses découvertes. Mais aussi récemment qu’en 2018, le FBI a fait appel à l’aide du secteur privé pour analyser les équipements Supermicro contenant des puces supplémentaires, selon un conseiller de deux sociétés de sécurité qui ont effectué le travail.

La saga Supermicro démontre un risque généralisé dans les chaînes d’approvisionnement mondiales, a déclaré Jay Tabb, un ancien haut responsable du FBI qui a accepté de parler de manière générale de l’ingérence de la Chine dans les produits de l’entreprise.

«Supermicro est l’illustration parfaite de la vulnérabilité des entreprises américaines à une potentielle falsification néfaste de tout produit qu’elles choisissent de fabriquer en Chine», a déclaré Tabb, qui était directeur adjoint exécutif de la branche de la sécurité nationale du FBI de 2018 jusqu’à sa retraite en janvier 2020.

“C’est un exemple du pire des cas si vous ne disposez pas d’une supervision complète de l’endroit où vos appareils sont fabriqués.”

Tabb a refusé d’aborder les détails de l’enquête du FBI. «Le gouvernement chinois fait cela depuis longtemps, et les entreprises doivent être conscientes que la Chine le fait», a-t-il déclaré. “Et la Silicon Valley en particulier doit cesser de prétendre que cela ne se produit pas.”

Ni Supermicro ni aucun de ses employés n’a été accusé d’actes répréhensibles, et d’anciens responsables américains qui ont fourni des informations pour cette histoire ont souligné que la société elle-même n’avait fait l’objet d’aucune enquête de contre-espionnage.

En réponse à des questions détaillées, Supermicro a déclaré qu’elle n’avait «jamais été contactée par le gouvernement américain, ni par aucun de nos clients, au sujet de ces enquêtes présumées». La société a déclaré que Bloomberg avait rassemblé «un méli-mélo d’allégations disparates et inexactes» qui «tire des conclusions farfelues».

Les agences fédérales, y compris celles décrites dans cet article comme menant des enquêtes, achètent toujours des produits Supermicro, a déclaré la société. Et il a noté que ce compte rendu d’une enquête de contre-espionnage manque de détails , y compris le résultat de l’enquête ou si elle est en cours. La réponse complète est publiée ici.

«Supermicro est une réussite américaine et la sécurité et l’intégrité de nos produits sont une priorité absolue», a déclaré la société.

Un porte-parole du ministère chinois des Affaires étrangères a qualifié les récits de ces attaques de «tentatives de discréditer la Chine et les entreprises chinoises» et a accusé les responsables américains de «faire des choses pour faire du battage sur la« menace chinoise ».

«La Chine n’a jamais et n’exigera jamais que les entreprises ou les particuliers collectent ou fournissent au gouvernement chinois des données, des informations et des renseignements d’autres pays en installant des« portes dérobées »», a déclaré le porte-parole dans un communiqué écrit.

Cette histoire est tirée d’entretiens avec plus de 50 personnes des forces de l’ordre, de l’armée, du Congrès, des agences de renseignement et du secteur privé. La plupart ont demandé à ne pas être nommés afin de partager des informations sensibles. Certains détails ont été confirmés dans les documents d’entreprise examinés par Bloomberg News.

Bloomberg Businessweek a fait un premier rapport sur l’ingérence de la Chine dans les produits Supermicro en octobre 2018, dans un article qui portait sur les comptes de puces malveillantes ajoutées  sur les cartes mères de serveurs en 2015. Selon cette histoire, Apple Inc. et Amazon.com Inc. avaient découvert les puces sur des équipements qu’ils avaient achetés. Supermicro, Apple et Amazon ont publiquement appelé à une rétractation. Des responsables du gouvernement américain ont également contesté l’article.

Grâce à des rapports supplémentaires, il est désormais clair que le rapport Businessweek n’a divulgué qu’une partie d’une plus grande chaîne d’événements au cours desquels les responsables américains ont d’abord soupçonné, puis enquêté, surveillé et tenté de gérer la manipulation répétée des produits de Supermicro par la Chine.

Pendant tout ce temps, les représentants du gouvernement ont gardé leurs conclusions auprès du grand public. Supermicro lui-même n’a pas été informé de l’enquête de contre-espionnage du FBI, selon trois anciens responsables américains.

Le secret est parfois levé, le bureau et d’autres agences gouvernementales ayant mis en garde un groupe restreint d’entreprises et sollicitant l’aide d’experts extérieurs.

«Au début de 2018, deux sociétés de sécurité que je conseille ont été informées par la division de contre-espionnage du FBI enquêtant sur cette découverte de puces malveillantes ajoutées sur les cartes mères de Supermicro», a déclaré Mike Janke, ancien Navy SEAL qui a cofondé DataTribe, une société de capital-risque. «Ces deux sociétés ont par la suite été impliquées dans l’enquête gouvernementale, où elles ont utilisé des analyses avancées de matériel informatique sur les cartes Supermicro trafiquées pour valider l’existence des puces malveillantes .

Un autre fournisseur du Pentagone qui a retenu l’attention était le groupe chinois Lenovo Group Ltd. En 2008, les enquêteurs américains ont découvert que des unités militaires en Irak utilisaient des ordinateurs portables Lenovo dont le matériel avait été modifié. La découverte a fait surface plus tard dans un témoignage peu remarqué lors d’une affaire pénale américaine – une description publique rare d’un piratage de matériel chinois.

Janke, dont la société a engendré des startups avec d’anciens membres de la communauté du renseignement américain, a déclaré que les deux sociétés n’étaient pas autorisées à parler publiquement de ce travail, mais qu’elles avaient partagé avec lui les détails de leur analyse. Il a accepté de discuter de leurs conclusions de manière générale pour sensibiliser à la menace de l’espionnage chinois dans les chaînes d’approvisionnement technologiques.

Supermicro, fondée en 1993 par l’immigrant taïwanais Charles Liang, a été construite pour tirer parti des chaînes d’approvisionnement mondiales. Bon nombre de ses cartes mères – les grappes de puces et de circuits qui exécutent l’électronique moderne – ont été fabriquées en Chine , puis assemblées en serveurs aux États-Unis et ailleurs.

 La société, qui a réalisé un chiffre d’affaires de 3,3 milliards de dollars l’année dernière, a vu son équipement informatique devenir omniprésent à l’ère du cloud computing. Ses cartes mères sont intégrées dans des produits allant des scanners d’imagerie médicale aux appareils de cybersécurité. Supermicro a refusé de répondre à la question de savoir si elle dépend des fabricants sous contrat en Chine aujourd’hui.

Dans une divulgation inhabituelle pour toute entreprise publique, Supermicro a déclaré aux investisseurs en mai 2019 que ses propres réseaux informatiques avaient été violés pendant plusieurs années. «Nous avons subi des intrusions non autorisées dans notre réseau entre 2011 et 2018», écrit la société. «Aucune de ces intrusions, individuellement ou globalement, n’a eu d’effet défavorable important sur nos activités ou nos produits.» L’entreprise n’a pas répondu aux demandes d’informations supplémentaires sur ces intrusions.

Les responsables fédéraux étaient préoccupés par le rôle dominant de la Chine dans la fabrication électronique mondiale avant que les produits de Supermicro ne soient soumis à un examen approfondi du gouvernement américain.

«Une grande quantité d’ordinateurs portables Lenovo a été vendue à l’armée américaine avec une puce cryptée sur la carte mère qui enregistrait toutes les données entrées dans cet ordinateur portable et les renvoyait en Chine», Lee Chieffalo, qui gérait un réseau maritime. centre d’opérations près de Fallujah, en Irak, a témoigné lors de cette affaire de 2010.

«C’était une énorme faille de sécurité. Nous n’avons aucune idée de la quantité de données qu’ils ont obtenue, mais nous avons dû retirer tous ces systèmes du réseau. “

Trois anciens responsables américains ont confirmé la description de Chieffalo d’une puce ajoutée sur les cartes mères Lenovo. L’épisode était un avertissement au gouvernement américain concernant le matériel modifié, ont-ils déclaré.

Lenovo n’était pas au courant du témoignage et l’armée américaine n’a fait part à l’entreprise d’aucun problème de sécurité concernant ses produits, a déclaré la porte-parole Charlotte West dans un e-mail. Les responsables américains ont mené «une enquête approfondie sur les antécédents et la fiabilité de Lenovo» tout en examinant ses acquisitions en 2014 d’entreprises auprès d’IBM et de Google, a déclaré West. Les deux achats ont été approuvés.

“Comme il n’y a eu aucun rapport sur le problème, nous n’avons aucun moyen d’évaluer les allégations que vous citez ou si les problèmes de sécurité peuvent avoir été déclenchés par l’ingérence de tiers”, a déclaré West.

Après la découverte en 2008, le département de la Défense a discrètement bloqué le matériel Lenovo de certains projets sensibles, ont déclaré les trois responsables américains, mais la société n’a pas été supprimée d’une liste de fournisseurs approuvés au Pentagone.

En 2018, l’armée de terre et l’armée de l’air ont acheté pour 2,2 millions de dollars de produits Lenovo, des achats critiqués par l’inspecteur général du Pentagone dans un rapport de 2019 citant des «risques connus de cybersécurité».

Le ministère de la Défense a besoin d’un meilleur processus pour évaluer les achats de technologie et imposer des interdictions si nécessaire, selon le rapport.

Vers le début de 2010, une équipe de sécurité du Pentagone a remarqué un comportement inhabituel des serveurs Supermicro dans ses réseaux non classés.

 Les machines se sont révélées chargées d’instructions non autorisées enjoignant à chacun de copier secrètement des données sur lui-même et son réseau et d’envoyer ces informations en Chine, selon six anciens hauts fonctionnaires qui ont décrit une enquête confidentielle sur l’incident.

Le Pentagone a trouvé l’implant dans des milliers de serveurs, a déclaré un responsable; un autre l’a décrit comme «omniprésent».

Les enquêteurs ont attribué le code voyou aux agences de renseignement chinoises, ont déclaré les responsables. Un ancien haut responsable du Pentagone a déclaré qu’il n’y avait «aucune ambiguïté» dans cette attribution.

Il n’y avait aucune preuve que l’implant siphonnait des détails sur les opérations militaires. Mais les pirates ont obtenu quelque chose de précieux: des données qui constituaient une carte partielle des réseaux non classés du ministère de la Défense.

Les analystes craignaient également que l’implant – que les pirates avaient pris la peine de cacher – pourrait être une arme numérique qui pourrait arrêter ces systèmes pendant un conflit.

Sans une solution sur le but ultime de la Chine, les dirigeants américains ont décidé en 2013 de garder la découverte secrète et de laisser l’attaque se dérouler, selon trois responsables informés du plan. Keith Alexander, alors directeur de l’Agence de sécurité nationale, a joué un rôle central dans la décision, ont déclaré les responsables. Le Pentagone a conçu des contre-mesures indétectables pour protéger ses réseaux, ont déclaré deux d’entre eux.

Ces mesures ont permis aux propres espions américains de commencer à recueillir des renseignements sur les projets de la Chine sans alerter Pékin, ont déclaré les deux responsables.

Un porte-parole d’Alexandre a adressé des questions à la NSA. L’agence a refusé de commenter au-delà d’une déclaration d’une phrase: “La NSA ne peut pas confirmer que cet incident – ou les mesures de réponse ultérieures décrites – se soit jamais produit.”

Un haut responsable de la Maison Blanche a refusé de commenter une description détaillée des informations contenues dans cette histoire. “Nous n’aurons pas de commentaire sur cette question spécifique”, a déclaré le responsable dans un communiqué envoyé par courrier électronique. «De manière générale, le président s’est engagé à ce que son administration procède à un examen approfondi de la chaîne d’approvisionnement sur une variété de biens et de secteurs afin d’identifier les risques critiques pour la sécurité nationale. Nous aurons plus de détails sur cet avis lorsque nous serons prêts à partager. “

D’autres agences fédérales, y compris le bureau du directeur du renseignement national, le département de la sécurité intérieure et le FBI, ont refusé de commenter cette histoire.

A Defense Department spokeswoman said officials generally don’t comment on investigations, intelligence matters or particular suppliers. In response to questions about the Pentagon’s 2010 investigation, one official said the government has sought to safeguard its supply chain.

«Lorsqu’il est confronté à un effort contradictoire, le Département prend de nombreuses mesures pour travailler continuellement à exclure les produits ou les entreprises qui constituent une menace pour notre sécurité nationale», a déclaré Ellen Lord, qui a été sous-secrétaire à la défense pour l’acquisition et le maintien en puissance avant de démissionner en janvier. Elle n’a pas nommé Supermicro ni aucune autre entreprise.

Ellen Lord, sous-secrétaire à la défense pour l’acquisition et le maintien en puissance, témoigne lors d’une audience du Sénat sur l’intégrité de la chaîne d’approvisionnement le 1er octobre.

 En enquêtant sur les centres de données du Pentagone, les représentants du gouvernement ont pris des mesures discrètes pour tenter d’empêcher l’utilisation des produits Supermicro dans les réseaux sensibles de sécurité nationale, même si l’entreprise est restée sur des listes publiques de fournisseurs approuvés.

Adrian Gardner, qui était directeur de l’information du Goddard Space Flight Center de la NASA à Greenbelt, Maryland, a déclaré avoir pris connaissance des préoccupations de la communauté du renseignement concernant les produits Supermicro avant de quitter la NASA en 2013, lors d’un examen des systèmes informatiques de Goddard.

Gardner a refusé de discuter exactement de ce qu’on lui avait dit ou si la NASA avait supprimé du matériel. Mais il a déclaré que le message était clair: «Le gouvernement américain doit utiliser tous les contrôles à sa disposition pour s’assurer qu’il ne déploie pas d’équipement de Supermicro dans les limites du système d’actifs de grande valeur et de réseaux sensibles», a-t-il déclaré.

Les agences américaines ont continué d’acheter des produits Supermicro. Les communiqués de presse de la société montrent que le Goddard Center de la NASA en a acheté pour un réseau non classé consacré à la recherche sur le climat en 2017. Et l’année dernière, Lawrence Livermore National Laboratory, qui effectue des travaux classifiés sur les armes nucléaires, a acheté du matériel Supermicro pour des recherches non classées sur Covid-19 .

Alors que les experts militaires enquêtaient sur la violation du Pentagone, ils ont déterminé que les instructions malveillantes guidant les serveurs du Pentagone étaient cachées dans le système d’entrée-sortie de base de la machine, ou BIOS, partie de tout ordinateur qui lui dit quoi faire au démarrage.

Deux personnes ayant une connaissance directe ont déclaré que la manipulation combinait deux morceaux de code: le premier était intégré dans des instructions qui gèrent l’ordre de démarrage et ne peuvent pas être facilement effacés ou mis à jour. Ce code récupérait des instructions supplémentaires qui étaient stockées dans la mémoire inutilisée de la puce BIOS, où elles étaient peu susceptibles d’être trouvées, même par les clients soucieux de leur sécurité. Lorsque le serveur était mis sous tension, l’implant se chargeait dans la mémoire principale de la machine, où il continuait à envoyer des données périodiquement.

Les fabricants comme Supermicro concèdent généralement la plupart de leur code BIOS à des tiers. Mais les experts gouvernementaux ont déterminé qu’une partie de l’implant résidait dans un code personnalisé par des travailleurs associés à Supermicro, selon six anciens responsables américains informés des résultats.

Les enquêteurs ont examiné le code BIOS des serveurs du département de la Défense fabriqués par d’autres fournisseurs et n’ont trouvé aucun problème similaire. Et ils ont découvert le même code inhabituel dans les serveurs Supermicro fabriqués par différentes usines à des moments différents, suggérant que l’implant a été introduit dans la phase de conception.

Dans l’ensemble, les résultats ont indiqué une infiltration de l’ingénierie BIOS de Supermicro par les agences de renseignement chinoises, ont déclaré les six responsables.

En 2012, le FBI avait ouvert une enquête de contre-espionnage et des agents du bureau de terrain de San Francisco ont utilisé des mandats de la FISA pour surveiller les communications de plusieurs personnes connectées à Supermicro, selon cinq anciens responsables américains.

Trois des responsables ont déclaré que le FBI avait des preuves suggérant que l’entreprise avait été infiltrée par des personnes travaillant – volontairement ou involontairement – pour la Chine. Ils ont refusé de détailler ces preuves.

La surveillance de la FISA comprenait des personnes en mesure de modifier la technologie de l’entreprise et pas uniquement des cadres supérieurs, ont déclaré les responsables.

La durée de cette surveillance n’est pas claire. Le ministère de la Justice n’a pas reconnu l’enquête ni annoncé d’accusations liées à celle-ci. Les enquêtes de contre-espionnage visent à surveiller et à perturber les opérations de renseignement étranger sur le sol américain et aboutissent rarement à des poursuites pénales.

En 2014, les enquêteurs du gouvernement américain recherchaient toute forme supplémentaire de manipulation – tout ce qu’ils auraient pu manquer, comme l’a dit un ancien responsable du Pentagone. En quelques mois, travaillant avec les informations fournies par les agences de renseignement américaines, le FBI a trouvé un autre type d’équipement modifié: des puces malveillantes ajoutées aux cartes mères Supermicro.

Les experts gouvernementaux ont considéré l’utilisation de ces appareils comme une avancée significative dans les capacités de piratage matériel par la Chine, selon sept anciens responsables américains qui en ont été informés entre 2014 et 2017. Les puces n’ont injecté que de petites quantités de code dans les machines, ouvrant une porte pour les attaquants, ont déclaré les responsables.

De petits lots de cartes mères avec les puces ajoutées ont été détectés au fil du temps, et de nombreux produits Supermicro ne les incluaient pas, ont déclaré deux responsables.

Alarmés par la sophistication des appareils, les responsables ont choisi d’avertir un petit nombre de cibles potentielles lors de briefings qui ont identifié Supermicro par son nom. Des dirigeants de 10 entreprises et d’un grand service public municipal ont déclaré à Bloomberg News qu’ils avaient reçu de tels avertissements. Alors que la plupart des dirigeants ont demandé à ne pas être nommés pour discuter de questions sensibles de cybersécurité, certains ont accepté de le faire officiellement.

«C’était de l’espionnage à tout point de vue», a déclaré Mukul Kumar, qui a déclaré avoir reçu un de ces avertissements lors d’un briefing non classifié en 2015 alors qu’il était le chef de la sécurité d’Altera Corp., un concepteur de puces à San Jose. «Il y avait une puce sur la carte qui n’était pas censée être là et qui appelait à la maison – pas à Supermicro mais à la Chine.»

Altera, qui a été achetée par Intel en décembre 2015, n’utilisait pas de produits Supermicro, a déclaré Kumar, de sorte que la société a déterminé qu’elle n’était pas en danger.

Après son briefing en personne, a déclaré Kumar, il a appris que des pairs de deux autres sociétés de semi-conducteurs de la Silicon Valley avaient déjà reçu le même avertissement du FBI.

«Les agents ont dit que ce n’était pas un cas ponctuel; ils ont dit que cela affectait des milliers de serveurs », a déclaré Kumar à propos de sa propre discussion avec des agents du FBI.

On ne sait toujours pas combien d’entreprises ont été touchées par l’attaque de puce supplémentaire. L’histoire de Bloomberg en 2018 a cité un responsable qui a estimé le nombre à près de 30, mais aucun client n’a reconnu avoir trouvé des puces malveillantes sur les cartes mères Supermicro.

Plusieurs dirigeants qui ont reçu des avertissements ont déclaré que les informations contenaient trop peu de détails sur la façon de trouver des puces non fiables. Deux anciens hauts fonctionnaires ont déclaré que les détails techniques étaient tenus secrets.

Mike Quinn, un responsable de la cybersécurité qui a occupé des postes de direction chez Cisco Systems Inc. et Microsoft Corp., a déclaré avoir été informé de l’ajout de puces sur les cartes mères Supermicro par des responsables de l’US Air Force.

Quinn travaillait pour une entreprise qui était un sous-traitant potentiel pour des contrats de l’armée de l’air, et les responsables voulaient s’assurer que tout travail n’inclurait pas d’équipement Supermicro, a-t-il déclaré. Bloomberg a accepté de ne pas préciser quand Quinn a reçu le briefing ou d’identifier l’entreprise pour laquelle il travaillait à l’époque.

«Ce n’était pas le cas d’un gars qui volait une planche et soudait une puce dans sa chambre d’hôtel; il a été conçu sur le dernier appareil », a déclaré Quinn, rappelant les détails fournis par les responsables de l’armée de l’air. La puce «a été mélangée à la trace sur une carte multicouche», a-t-il déclaré.

«Les attaquants savaient comment cette carte avait été conçue pour qu’elle réussisse» les tests d’assurance qualité, a déclaré Quinn.

Un porte-parole de l’armée de l’air a déclaré dans un e-mail que l’équipement Supermicro n’a été exclu des contrats de l’USAF sous aucune autorité légale publique. En général, a-t-il déclaré, le ministère de la Défense a des options non publiques pour gérer les risques de la chaîne d’approvisionnement dans les contrats relatifs aux systèmes de sécurité nationale.

Dans sa réponse écrite aux questions, Supermicro a déclaré qu’aucun client ni aucune agence gouvernementale n’avait jamais informé l’entreprise de la découverte de puces malveillantes dans ses équipements. Il a également déclaré qu’il n’avait “jamais trouvé de puces malveillantes, même après avoir engagé une société de sécurité tierce pour mener une enquête indépendante sur nos produits.” La société n’a pas répondu à une question concernant le choix des échantillons faisant l’objet d’une enquête.

Après que Bloomberg ait fait état de la menace de puce supplémentaire en octobre 2018, des responsables du département américain de la sécurité intérieure, du FBI, du bureau du directeur du renseignement national et de la NSA ont fait des déclarations publiques, soit rejetant la validité du rapport, soit disant qu’ils n’avaient aucune connaissance  de l’attaque . La NSA a déclaré à l’époque qu’elle était «déconcertée» par le rapport de Bloomberg et qu’elle n’était pas en mesure de le corroborer; l’agence a déclaré le mois dernier qu’elle s’en tenait à ces commentaires.

Les alertes concernant les puces ajoutées n’étaient pas limitées au secteur privé. Des anciens responsables de l’information de quatre agences américaines ont déclaré à Bloomberg qu’ils avaient participé à des briefings organisés par le département de la Défense entre 2015 et 2017 sur les puces ajoutées sur les cartes mères Supermicro.

Et le FBI examinait des échantillons de cartes mères Supermicro manipulées aussi récemment qu’en 2018, selon Janke, le conseiller de deux entreprises qui ont aidé à l’analyse.

Darren Mott, qui a supervisé les enquêtes de contre-espionnage dans le bureau satellite du bureau de Huntsville, en Alabama, a déclaré qu’un collègue bien placé du FBI avait décrit des détails clés sur les puces ajoutées pour lui en octobre 2018.

«Ce qu’on m’a dit, c’est qu’il y avait un petit composant supplémentaire sur les cartes mères Supermicro qui n’était pas censé être là», a déclaré Mott, qui a depuis pris sa retraite. Il a souligné que les informations étaient partagées dans un cadre non classifié. «Le FBI savait que l’activité était menée par la Chine, et qu’elle était préoccupante et a alerté certaines entités à ce sujet.»

Mott a déclaré qu’à l’époque, il avait conseillé aux entreprises qui l’avaient interrogé sur les puces de prendre le problème au sérieux.

 Les enquêteurs de l’entreprise ont découvert une autre façon dont les pirates chinois exploitaient les produits Supermicro. En 2014, les dirigeants d’Intel ont retracé une faille de sécurité dans leur réseau à une mise à jour du micrologiciel apparemment courante téléchargée depuis le site Web de Supermicro.

Les responsables de la sécurité d’Intel ont conclu qu’un groupe de piratage chinois d’élite avait perpétré l’attaque, selon un diaporama présenté à un rassemblement de pairs de l’industrie technologique en 2015. Deux participants ont accepté de partager les détails de la présentation.

 En réponse aux questions sur l’incident, une porte-parole d’Intel a déclaré qu’il avait été détecté tôt et n’avait causé aucune perte de données.

«En 2014, Intel IT a identifié et rapidement résolu un problème rencontré dans des logiciels non Intel sur deux systèmes dans une partie confinée de notre réseau», a déclaré la porte-parole Tara Smith. “Il n’y a eu aucun impact sur notre réseau ou nos données.” Elle a refusé de développer ses propos.

La présentation d’Intel s’est concentrée sur l’identité des attaquants et leur utilisation du site de mise à jour d’un fournisseur de confiance, selon les personnes qui ont vu le diaporama. Un contact dans la communauté du renseignement américain a alerté la société de la violation, selon une personne proche du dossier. L’astuce a aidé les enquêteurs d’Intel à déterminer que les attaquants appartenaient à un groupe parrainé par l’État appelé APT 17.

bord retrouvé sur un seul des milliers de serveurs de l’entreprise, puis sur un  autre quelques mois plu APT 17 est spécialisé dans les attaques complexes de la chaîne d’approvisionnement, et il atteint souvent plusieurs cibles pour atteindre ses victimes prévues, selon des sociétés de cybersécurité telles que Symantec et FireEye. En 2012, le groupe a piraté la société de cybersécurité Bit9 afin de se rendre auprès des prestataires de défense protégés par les produits Bit9.

Les enquêteurs d’Intel ont découvert qu’un serveur Supermicro a commencé à communiquer avec APT 17 peu de temps après avoir reçu un correctif de micrologiciel d’un site Web de mise à jour que Supermicro avait mis en place pour les clients. Le firmware lui-même n’avait pas été falsifié; le malware est arrivé dans le cadre d’un fichier ZIP téléchargé directement à partir du site, selon les comptes rendus de la présentation d’Intel.

Ce mécanisme de livraison est similaire à celui utilisé dans le récent piratage de SolarWinds, dans lequel les Russes auraient ciblé des agences gouvernementales et des entreprises privées via des mises à jour logicielles. Mais il y avait une différence majeure: dans le cas d’Intel, le logiciel malveillant s’est d’a s tard.

Les enquêteurs d’Intel ont conclu que les attaquants pouvaient cibler des machines spécifiques, ce qui rendait la détection beaucoup moins probable. En revanche, le code malveillant a atteint jusqu’à 18 000 utilisateurs de SolarWinds.

Les dirigeants d’Intel ont informé Supermicro de l’attaque peu de temps après qu’elle se soit produite, selon les descriptions de la présentation de la société.

Supermicro n’a pas répondu aux questions détaillées sur l’incident, mais a déclaré: “Intel a soulevé une question que nous n’avons pas été en mesure de vérifier, mais par prudence, nous avons rapidement pris des mesures pour y remédier.” Les deux sociétés continuent de faire des affaires importantes entre elles.

  Les violations impliquant le site de mise à jour de Supermicro se sont poursuivies après l’épisode Intel, selon deux consultants qui ont participé à des enquêtes d’entreprise et ont demandé à ne pas être nommés.

Lors d’incidents survenus dans deux sociétés non américaines, l’une en 2015 et l’autre en 2018, des attaquants ont infecté un seul serveur Supermicro via le site de mise à jour, selon une personne qui a consulté sur les deux cas. Les entreprises étaient impliquées dans l’industrie sidérurgique, selon la personne, qui a refusé de les identifier, invoquant des accords de non-divulgation. Le principal suspect des intrusions était la Chine, a déclaré la personne.

En 2018, un important fabricant sous contrat américain a trouvé un code malveillant dans une mise à jour du BIOS du site Supermicro, selon un consultant qui a participé à cette enquête. Le consultant a refusé de partager le nom du fabricant. Bloomberg a examiné des parties d’un rapport d’enquête.

  On ne sait pas si les trois sociétés ont informé Supermicro de leurs problèmes avec le site de mise à jour, et Supermicro n’a pas répondu aux questions les concernant.

Aujourd’hui, alors que le piratage de SolarWinds fait toujours l’objet d’une enquête, des préoccupations de sécurité nationale concernant la chaîne d’approvisionnement technologique ont éclaté dans la politique américaine. Les responsables américains appellent à un contrôle plus strict de la chaîne d’approvisionnement et  des fabricants sous traitant  pour s’assurer que leur code et leur matériel sont sûrs.

“L’histoire de malheur de Supermicro est un réveil effrayant pour l’industrie”, a déclaré Frank Figliuzzi, qui était le directeur adjoint du FBI pour le contre-espionnage jusqu’en 2012. Figliuzzi a refusé de répondre aux détails, mais a accepté de parler publiquement des implications de l’histoire de Supermicro avec Falsification chinoise.

“Si vous pensez que cette histoire ne concerne qu’une seule entreprise, vous ratez l’essentiel”, a-t-il déclaré. «C’est un moment de ne pas laisser cela  arriver »pour quiconque dans la chaîne d’approvisionnement du secteur technologique.»

 – Avec l’aide de Jennifer Jacobs

source

           

0
0 Comments
Inline Feedbacks
View all comments

秘密翻译组G-Translators

秘密翻译组需要各类人才期待战友们的参与: https://reurl.cc/g8m6y4 🌹 欢迎大家订阅 - GTV频道1: https://gtv.org/user/5ed199be2ba3ce32911df7ac; GTV频道2: https://gtv.org/user/5ff41674f579a75e0bc4f1cd Feb. 15