Az elmúlt években az orosz katonai hírszerzés hackertámadásaitól volt hangos a világsajtó, a nyugati titkosszolgálatok éppen a héten kezdtek összehangolt tájékoztatási kampányba, újabb és újabb eseteket nyilvánosságra hozva az elmúlt évekből, amikor a GRU hackerei próbáltak adatokat szerezni a Nemzetközi Doppingügynökségtől az Ukrajna felett az orosz hadsereg légvédelmi rakétájával lelőtt maláj repülő, az MH-17-es ügyében folyó nyomozás anyagain át egészen a Salisburyben elkövetett vegyi fegyveres merényletet vizsgáló nemzetközi szerv, az OPCW hágai központjáig. De míg az orosz katonai hírszerzés szoftveres felderítésre szakosodott, amihez nem túl szofisztikált módszerekkel, a gyanútlan felhasználókat kamu bejelentkezési oldalakra terelve szereztek hozzáférést áldozataik számítógépéhez, egy másik állami szereplő ennél sokkal ambiciózusabb programba kezdett.

A Bloomberg Businesweek magazin legfrissebb számának címlapsztorija szerint a kínai Népi Felszabadító Hadsereg kiberegysége a számítógépipar globális ellátóláncának sajátosságait kihasználva hardveres hozzáférést biztosítottak maguknak közel harminc amerikai nagyvállalat szervereihez. A vállalatok között olyan globális óriáscégek vannak, mint a világ két legértékesebb vállalata, az Apple és az Amazon, melyek felhasználók százmillióinak nyújtanak felhőalapú tárhelyszolgáltatást. A Bloomberg iparági és titkosszolgálati forrásai - köztük az Apple és az Amazon a történteket ismerő munkatársai - szerint a kínai titkosszolgálatoknak ezekhez a szerverparkokhoz is hozzáférésük lehetett.

Hogyan csinálták?

A hardverhackelésnek két bevett módja van. Az egyik, amivel az Edward Snowden által az NSA-től megszerzett iratok alapján az amerikai titkosszolgálatok éltek, az ún. lefülelés (interdiction). A titkosszolgálatok ez esetben akkor férnek hozzá a hardverhez, amikor az a gyártó és a megrendelő között utazik. A módszer kis léptékben alkalmazható csak, nagyon célzottan. A másik, sokkal látványosabb eredményekkel kecsegtető módszert vetésnek (seeding) nevezik. Ez lényegében azt jelenti, hogy a hardvert már a gyártósoron meghackelik.

Ha van ország, amely képes lehet ilyesmire, az a számítógépipari beszállítólánc sajátosságai miatt éppen Kína. Ott gyártják a világ mobiltelefonjainak 75, személyi számítógépeinek 90 százalékát, és a világ számítógépeiben használt alaplapjainak javát is.

A Népi Felszabadító Hadsereg kiberegysége pedig készített egy aprócska mikrocsipet, alig nagyobbat egy kihegyezett ceruza hegyénél, amit szinte észrevétlenül el lehetett helyezni az alaplapokon. Észrevétlenül, mert inkább tűnt ártatlan csatolónak, mintsem mikrocsipnek. Mondjuk sok mindent nem is kellett tudnia, bőven elég volt, hogy hozzáférhetett az alaplap központi processzorához, amit egy egyszerű kóddal rávehetett, hogy egy távoli szerverről letöltött kódot futtatva hozzáférést biztosítson a szerverekhez a kíváncsi kémeknek.

Bár az eszköz és a lehetőség is adott volt, a megvalósítás ettől még nem lett egyszerűbb. A felcsipelt alaplap rendeltetési helyre juttatása a Businessweek szép megfogalmazásában ahhoz hasonlított, mintha a Jangcéba dobtak volna egy faágat, garantálva, hogy az aztán végül Seattle-ben kössön ki.

Kapóra jött, hogy az alaplappiacot gyakorlatilag egy vállalkozás, a San Jose-i székhelyű Super Micro Computer Inc (Supermicro) uralta le. A cég, amit egy tajvani bevándorló, Charles Liang alapított, és bár a cég összeszerelő üzemei Kaliforniában vannak, dolgozói javarészt tajvaniak és kínaiak, így a vállalaton belül a mandarin kínai a kommunikáció nyelve. Ennél is lényegesebb, hogy alaplapjaikat viszont szinte kizárólag Kínában, alvállalkozókkal gyártatják, és szerelik be szervereikbe, amiket olyan, hírszerzési szempontból érdekes cégeknek szállítanak le, mint a már említett Apple, illetve egy Elemental nevű cég, amely méregdrága, videótömörítésre, formázásra és sztrímelésre specializált szervereiben használja ezeket. Olyan szerverekben, amilyenek az amerikai védelmi minisztériumban, a CIA drónközpontjaiban, az amerikai törvényhozásban és még az amerikai haditengerészet hadihajóin is vannak.

Ezt a céget, az Elementalt nézte ki felvásárlásra 2015-ben az Amazon, amely saját sztrímelő szolgáltatása beindításán dolgozott éppen. A felvásárlást megelőző rutin ellenőrzési lépések egyikeként az Amazon felhőszolgáltató részlege, az Amazon Web Services felkért egy külsős biztonsági elemző céget, hogy vizsgálja át alaposan az Elementalt. Ekkor bukkantak rá az Elemental szervereinek Supermicrótól beszerzett alaplapjain a Népi Felszabadító Hadsereg beavatkozásának nyomára, az aprócska csipre.

Nagyjából ezzel egyidőben az Apple mérnökei is felfedezték az aprócska csipet szervereik szintén Supermicrótól érkezett alaplapjain - az ő gyanújukat a szerverek szokatlan kommunikációja ébresztette fel, mert a kémcsip rendeltetésszerű működése részeként időnként távoli szerverekkel lépett kapcsolatba.

Mindezt az érintett cégek a Businesweeknek elküldött hivatalos közleményeikben határozottan tagadták, de a lap szerint értesüléseiket az elmúlt három évben hat, részben ma is aktív nemzetbiztonsági vezető mellett az AWS két mérnöke, az Apple három, a történteket ismerő munkatársa, mindösszesen 17, az ügy részleteit ismerő személy erősítette meg. Az egyik kormányzati tisztviselő szerint Kína célja az ipari hírszerzés volt, és hogy hozzáférjen az érzékeny kormányzati hálózatokhoz, arról nem tudott, hogy felhasználók adatait megszerezhették-e.

Azt, hogy az Amazon hivatalos tagadásával szemben valóban tudhatott az alaplapok hackeléséről, közvetve megerősíti az, ami kínai szervereivel történt. Az Elemental 2015 szeptemberi felvásárlása után több forrás állítása szerint az Amazon az AWS szervereire akarta áttelepíteni az Elemental szoftverét - mert az AWS szervereit jellemzően házon belül gyártották olyan gyárak, amikkel az Amazon közvetlenül áll szerződésben - vagyis nem a Supermicro alaplapjait használják. Kivéve kínai adatközpontjaik, amikben a Supermicro által gyártott szerverek voltak, és amelyekben a Businessweek értesülései szerint rá is bukkantak az aprócska kémcsipre. Így, amikor a kínai kormány 2016-ban új kiberbiztonsági törvény elfogadására készült, amely a korábbinál is szélesebb hozzáférést biztosított volna a kínai hatóságoknak az országban tárolt érzékeny adatokhoz, az Amazon részben az új szabályozásra hivatkozva megvált kínai adatközpontjaitól. "Levágták a beteg végtagot" - jellemezte a döntést egy, az ügy részleteit ismerő forrás.

Az Apple a maga részéről a kémcsip felfedezése után csendben eltávolította a Supermicro szervereit adatközpontjaiból - bár ezt tagadják. Azt, hogy 2016-ban a cég megszakította kapcsolatát a Supermicróval, egy a most tárgyalt esettől független, viszonylag apró biztonsági incidensre fogták, írja a Businessweek.

Honnan tudjuk, hogy Kína áll a háttérben?

Az amerikai elnökválasztási kampányban elkövetett hackertámadásoknál hónapokig tartott, amíg kétséget kizáróan Oroszországra lehetett bizonyítani a támadást. Ehhez az is kellett, hogy a hackertámadások során megszerzett adatokat az oroszok nyilvánosságra is hozzák - ennek során jártak el óvatlanabbul, kétségtelenné téve azt, amire addig csak abból lehetett következtetni, hogy ugyanazokkal a módszerekkel milyen más célpontokat támadtak, és azokat kiknek állhatott érdekében megtámadni. A hardveres hackelésnél ez egy kicsit egyszerűbb, mert a hardveralkatrészek útja nyomon követhető. Az alaplapoknak sorozatszámuk van, amik alapján beazonosítható a gyár, ahol készültek.

Az amerikai kémszolgálatok így a Supermicro beszállítói láncát kezdték vizsgálni. Persze a valóságban semmi sem olyan egyszerű, aminek látszik, a Supermicro például alapvetően két tajvani és egy sanghaji beszállítóval dolgozik, ám ezek, ha éppen túlterheltek, alvállalkozókat vonnak be. A Businesweek cikke szerint az amerikaiak végül minden lehetséges eszközüket, informátoraikat, fejlett lehallgató és nyomkövető eszközeiket bevetve azonosították azt a négy gyárat, ahol legalább két éven át gyártottak alaplapokat a Supermicrónak.

Ezeknek a megfigyelésével sikerült leleplezniük a kínai hírszerzés módszereit. Ügynökeik néha a megrendelő, a Supermicro képviselőinek kiadva magukat környékezték meg a gyártókat, apró változtatásokat kérve az alaplap dizájnjában. némi kenőpénzzel nyomatékosítva kérésüket. Ha ez nem működött volna, akkor ellenőrzésekkel, a gyár lezárásával fenyegették a gyárigazgatókat. Amikor ezzel megvoltak, már csak a kémcsip leszállítását kellett megszervezni.

Ez ellen nehéz védekezni

Miközben a színfalak mögött már kezdett lelepleződni a nagy kínai alaplaphackelés, Barack Obama 2015 szeptember végén Hszi Csin-ping kínai elnökkel közös sajtótájékoztatóján jelentette be, hogy a két ország hónapokig tartó tárgyalások után végre aláírta kiberbiztonsági megállapodását, melynek részeként Kína végre ígéretet tett rá, hogy a jövőben nem használják kínai vállalatok javára a hackerek által ellopott amerikai szellemi javakat. A sikert beárnyékolta, hogy a Fehér Házban ekkor már gyanították, hogy Kína azért engedhetett évek-évtizedek után ebben a kérdésben, mert már minden addiginál fejlettebb és leplezettebb módszerekkel dolgozhat a számítástechnikai beszállítóláncban elfoglalt helyének köszönhetően.

A megállapodást követő hetekben az amerikai kormány képviselői titokban megkongatták a vészharangot, a Pentagon szervezte találkozókon titokban tájékoztatták az amerikai technológiai szektor szereplőit az Apple-nél és az AWS-nél leleplezett támadásról. Bár a Supermicro neve nem hangzott el, sok résztvevő számára így is világos volt, hogy miről van szó. Ezen a tanácskozáson felkérték a cégeket, hogy dolgozzanak ki technológiákat az ilyen hardverhackelések felderítésére. Szóba került az is, hogy hogyan tették lehetővé az amerikai technológiai ipar kiszervezései egy ilyen támadás végrehajtását. Az azóta eltelt három évben nem sikerült üzletileg életképes módszert találni a hardverhackelések leleplezésére. Kereskedelmi háborúja részeként Trump kormánya viszont most éppen a számítástechnikai és hálózati hardwerekre is adókat készül kivetni, amitől azt remélik, hogy az amerikai IT-cégek más országok beszállítóira cserélhetik kínai partnereiket.