Кинески хакери се инфилтрирају у тајванске компаније за полупроводнике
Презентација на Блацк Хат (виртуелној) безбедносној конференцији ове недеље открила је детаље низа хакерских операција усмерених на тајванску индустрију полупроводника. Тајванска заштитарска фирма ЦиЦрафт на конференцији је представила детаље своје истраге. Најмање седам тајванских компанија нападнуто је нападом који ЦиЦрафт назива „оперативним кључем костура“, због употребе технике убризгавања „кључа костура“. Иако је ЦиЦрафт групу надимао Цхимера, постоје докази о везама са континенталном Кином и можда са хакерским групама које финансира влада.
„Ово је у великој мери државни напад који покушава да манипулише стањем и моћи Тајвана“, Цхад Дуффи, један од истраживача ЦиЦрафт-а који је радио на дуготрајној истрази компаније, рекао Жичан . Врста крађе интелектуалног власништва на велико, коју је приметио ЦиЦрафт, „у основи штети целокупној способности пословања корпорације“, додаје Цхунг-Куан Цхен, још један истраживач компаније ЦиЦрафт који ће данас представити истраживање компаније у компанији Блацк Хат. „То је стратешки напад на целу индустрију.“
Прошле године смо покрили велики проблем са малвером укључујући Асуса . Софтвер компаније отет је злонамерним кодом уметнутим у сопствени софтвер компаније Асус и потиснут од сервера компаније. Оно што је ове нападе учинило занимљивим било је то што је дотични софтвер био јасно циљан специфична појединци. Једном када је злонамерни софтвер учитан у систем, проверио је МАЦ адресу на листи од ~ 600 одређених адреса пре преузимања додатних корисних терета са командног и контролног сервера. Ова врста софистицираног напада заузима управо супротан приступ вашем типичном зомби ботнету, који покушава да зарази што је могуће више система. Асусов напад није био једнократни и ЦиЦрафт већ неколико година прати дигиталне отиске прстију група које стоје иза ових напада.
ЦиЦрафт није открио имена компанија које су погођене нападима, али упади показују уобичајене отиске прстију. Хакери су приступ стекли компромитујући виртуелне приватне мреже (ВПН), мада није јасно којим методама су приступили. Када су ушли, користили су прилагођену верзију најтежег алата Цобалт Стрике за отпремање малвера који се представља као датотека за ажурирање Гоогле Цхроме-а. Тимови су се потрудили да сакрију свој рад, никада нису дистрибуирали малвер који би особље обезбеђења могао напојити о њиховом сопственом постојању у мрежи. Према Жичан , најизразитија тактика коју су користили хакери била је манипулација продрлим контролерима домена у креирање нове лозинке за сваког корисника у систему, чиме се ефикасно убризгава кључ костура за себе у процес.
Зашто ЦиЦрафт верује да прати хакере континенталне Кине?
У једном тренутку, Жичан у чланку се објашњава, ЦиЦрафт бели шешири успели су да пресретну токен за потврду идентитета за командни и контролни сервер за злонамерни софтвер. На серверу је био „варалица“ која је описивала како је група обично избацивала податке од својих жртава. Документ је написан на поједностављеном кинеском језику користећи знакове који се користе на копну, али не и на Тајвану. Чини се да је група такође пратила традиционални кинески распоред рада познат под називом 9-9-6 (9:00 до 21:00, шест дана у недељи) и одмарала се према распореду континенталне Кине, а не према Тајвану. Ово не би било довољно за осигурање осуђујуће пресуде на суду, али пролази тест „Ако се ковитла као патка“.
Не можете доказати није било.
Последице ове врсте крађе ИП-а могле би бити знатне - и нису све у корист Кине. Полупроводници нису изграђени само од силицијума. У моделу ливнице клијента, они су такође изграђени на поверењу. Сваки појединачни купац ТСМЦ-а, Самсунг-а и ГлобалФоундриес-а пружио је ливници клијента приступ критичној интелектуалној својини. Нвидиа мора бити у стању да верује да ТСМЦ неће продавати информације о својим производима супарничкој фирми.
Замислите хипотетичку ситуацију у којој АМД сарађује са ТСМЦ-ом како би применио модификовани 5нм чвор за будуће Ризен ЦПУ-ове који побољшавају тактове за 200-300МХз у поређењу са ТСМЦ-овим стандардним 5нм. У исто време, Интел изражава интерес за изградњу чипова на ТСМЦ на 5нм. Као и сваки купац, Интел има циљане тактове и бројке о потрошњи енергије које жели да постигне. ИП АМД развијен са ТСМЦ-ом за сопствену приватну употребу драматично би побољшао структуру трошкова споразума ТСМЦ / Интел - али ТСМЦ-ов договор са АМД-ом спречава његово дељење са ривалом. Ако АМД не може да верује ТСМЦ-у да неће користити свој посао, АМД ће пронаћи другог партнера у ливници.
Ситуација са Кином је већа од тога. Овде није питање само конкурентне репутације ЦПУ-а, већ и могућности проналажења хардверских недостатака упечених у силицијум пре него што ЦПУ уопште буде издат. Иако о томе често не говоримо као о теми, грешке на хардверском нивоу су проблем који се само погоршава како се број ЦПУ транзистора и даље повећава.
„Ово је начин да се осакати део тајванске економије, да се наштети њиховој дугорочној одрживости“, каже Дуффи. „Ако погледате опсег овог напада, углавном читаву индустрију, горе-доле у ланцу снабдевања, чини се да је реч о покушају да се тамо преусмери однос моћи. Ако је сва интелектуална својина у кинеским рукама, они имају много већу моћ. “
Постоји далеко више извештавање данас на ИП и Пословна тајна крађа од стране Кине него пре неколико година. Биће занимљиво видети да ли ће западне земље и убудуће бити толико жељне да раде у Кини као што су биле током последњих неколико деценија.