После распада Советского Союза, многие отрасли не получали достаточного финансирования. Это повлияло и на производство электроники, возникло серьёзное отставание от иностранной промышленности в этой сфере. Поэтому в России из-за отсутствия внутреннего производства некоторых видов микроэлектронных компонентов приходится и сегодня использовать иностранные продукты, которые могут содержать в себе аппаратные закладки.
Они могут использоваться в средствах информационной системы, применяемой на Военно-морском флоте России, в Военно-воздушных силах, в бронетехнике, не говоря уже про космос и ещё более высокотехнологичные отрасли. Данные устройства могут никак не проявлять себя долгое время, но быть готовыми к внешней активации в нужный момент. После активации они могут передавать секретную информацию, запомненную в них.
Немного истории
Аппаратная закладка (англ. hardware Trojan, hardware backdoor) - устройство в электронной схеме, скрытно внедряемое к остальным элементам, которое способно вмешаться в работу вычислительной системы. Результатом работы аппаратной закладки может быть как полное выведение системы из строя, так и нарушение её нормального функционирования, например несанкционированный доступ к информации, её изменение или блокирование.
Также аппаратной закладкой называется отдельная микросхема, подключаемая злоумышленниками к атакуемой системе для достижения тех же целей. Если сказать проще, это своеобразные электронные устройства перехвата информации.
Аппаратная закладка может быть встроена на любом этапе: от проектировки до установки системы у конечного пользователя. Если аппаратная закладка реализована ещё инженером-разработчиком, на уровне устройства схемы, то её практически невозможно обнаружить. Также можно внедрить закладку на этапе производства, когда закладочный элемент добавляется к уже разработанной схеме устройства.
Однако при установке закладки в готовый продукт на этапе доставки или установки оборудования её уже проще обнаружить. Для этого нужно сравнить продукт с оригинальным или с другими поставщиками. По найденным различиям можно делать выводы о наличии потенциально опасных элементов.
Закладки разные нужны, закладки разные важны!
В зависимости от вида информации, перехватываемой закладными устройствами, последние можно разделить на акустические, телефонные и аппаратные закладки, а также закладные видеосистемы.
Акустические закладки предназначены для перехвата акустической (речевой) информации. Их можно классифицировать по виду исполнения, месту установки, источнику питания, способу передачи информации и ее кодирования, способу управления.
Перехватываемая акустическими закладками информация может записываться с использованием портативных устройств звукозаписи или передаваться по радиоканалу, оптическому каналу, по электросети переменного тока, по соединительным линиям вспомогательных технических средств (ВТСС), металлоконструкциям зданий, трубам систем отопления и водоснабжения, а также специально проложенным кабелям (линиям).
Наиболее широко используются акустические закладки, передающие информацию по радиоканалу. Такие устройства часто называют радиозакладками. Они могут быть закамуфлированы под предметы повседневного обихода: пепельницу, электронный калькулятор, электролампочку, зажигалку, наручные часы, авторучку, вазу, поясной ремень.
В зависимости от среды распространения акустических колебаний перехватываемых радиозакладками, последние можно подразделить на акустические радиозакладки и радиостетоскопы.
Акустические радиозакладки предназначены для перехвата акустических сигналов по прямому акустическому (воздушному) каналу утечки информации. Чувствительным элементом в них является, как правило, электретный микрофон.
Радиостетоскопы (контактные микрофоны, конструкционно объединенные с микропередатчиками) перехватывают акустические сигналы по виброакустическому (вибрационному) каналу утечки информации. В качестве чувствительных элементов в них обычно используются пьезомикрофоны, электретные микрофоны или датчики акселерометрического типа.
В зависимости от мощности излучения и типа источника питания время работы акустической закладки составляет от нескольких часов до нескольких суток и даже месяцев. При электропитании от сети переменного тока или телефонной линии время работы не ограничено.
Большинство радиозакладок с автономными источниками питания имеют мощность излучения до 10 мВт и дальность передачи информации до 100...200 м. Однако встречаются закладки с мощностью излучения в несколько десятков милливатт и дальностью передачи информации до 500...1000 м.
При использовании внешних источников питания (например, электросети или автомобильных аккумуляторов) мощность излучения может составлять более 100 мВт, что обеспечивает дальность передачи информации до несколько километров. В случае необходимости передачи информации на большие расстояния используются специальные ретрансляторы.
Активация закладок может быть внешней и внутренней. В первом случае для запуска закладки используется внешний сигнал, который принимается антенной или датчиком. Сигналом от датчика может быть результат какого-либо измерения: температуры, высоты, давления, напряжения.
Для внутренней активации не требуется взаимодействие с внешним миром. В этом случае закладка или работает всегда или запускается при определенном условии, заложенном при её разработке. Условием для внутренней активации может быть как определенная комбинация внутренних сигналов, так и определенная последовательность выполнения операций.
Закладки могут нарушить работу всего устройства или только его определенной функции либо её изменить или вообще отключить.
А был ли мальчик?
В средствах массовой информации широко распространены примеры «аппаратных закладок в процессорах», которые такими при ближайшем рассмотрении, конечно же, не являются.
Ядерная программа Ирана вызывала и вызывает острую реакцию у ряда стран, в первую очередь у Израиля и США. Завод по обогащению урана в Натанзе был хорошо защищён, и даже бомбардировка не гарантировала его полного уничтожения. Однако нетривиальный подход удалось найти.
Для уничтожения иранской атомной программы был разработан оригинальный компьютерный вирус, получивший название Stuxnet. Оказавшись на новом компьютере, Stuxnet начинал сканировать программное обеспечение, отыскивая автоматизированные системы управления, используемые в ядерной промышленности. Stuxnet искал строго определённую цель. Если он не находил такую, то просто «засыпал» в ожидании возможности переместиться дальше.
Однако иранцы, само собой, держали отключёнными от сети компьютеры, управлявшие ядерными объектами. Поэтому Stuxnet распространялся только через флеш-накопители.
Главную роль в этой схеме сыграл шпион, завербованный агентами нидерландской разведки по поручению ЦРУ и израильского разведывательного агентства Моссад. Именно он предоставил внутренний доступ для подключения Stuxnet к системам с помощью USB-накопителя.
Этот вирус был чрезвычайно хорошо написан, с тем чтобы не нанести никакого вреда системе, не отвечающей нужным параметрам, и не оставить ни малейших признаков внедрения. Впоследствии оказалось, что своими неисповедимыми путями вирус заразил несколько промышленных компьютеров в Германии, но не пришёл в действие, поскольку не обнаружил совпадения параметров с теми, что искал.
Получив контроль над иранскими ядерными центрифугами, Stuxnet начал потихоньку менять им режим работы. Иранские центрифуги рассчитаны на определённую скорость оборотов. Stuxnet потихоньку менял частоту вращения, заставляя центрифуги работать в критическом режиме. Центрифуги резко разгонялись и так же резко тормозили. При этом операторы пребывали в блаженном неведении о происходящем, поскольку показатели, выходящие на их экраны, вирус фальсифицировал.
Процесс занял несколько месяцев: разработчики вируса, очевидно, полагали, что за это время удастся как следует износить максимальное количество центрифуг. В результате в один прекрасный момент иранские центрифуги в Натанзее начали массово выходить из строя. В короткий срок 1368 из имевшихся у страны аятолл центрифуг просто сломались без возможности восстановления.
Иранцы и сами используют вредоносное програмное обеспечение. В частности, группировка Cobalt Mirage, связанная с правительством Ирана, использует новое вредоносное ПО Drokb для атак на различные организации США, используя GitHub в качестве тайника Dead Drop.
Dead Drop Resolver - техника атаки, в ходе которой злоумышленники размещают на легитимных веб-сервисах контент со встроенными вредоносными доменами или IP-адресами, пытаясь скрыть свои намерения.
Аналитики Secureworks уже сталкивались с атаками Cobalt Mirage , нацеленными на организации в Израиле, США, Европе и Австралии. Тогда специалисты отметили, что Cobalt Mirage создала 2 совершенно разных набора атак для вторжения в системы. Первый набор атак содержит в себе вымогательское ПО и легитимные инструменты - BitLocker и DiskCryptor, а его основной целью является получение выкупа. Второй набор атак используется для похищения конфиденциальных данных.
Ирак и Югославия
20 марта 2003 года США и Великобритания, при символическом военном участии Австралии и Польши, начали вторжение в Ирак. В ходе войны в Ираке в 2003 году по «неизвестной причине» произошло отключение всей компьютерной инфраструктуры и телефонной связи, что привело к потере управления войсками и во многом предопределило поражение иракской армии. «Неизвестными причинами» стали не закладки, а компьютерные вирусы, так и электронное вторжение с воздуха. Самолеты ЕС-130 при помощи СВЧ-излучения отключили серверы иракской службы ПВО и компьютеры военной и гражданской инфраструктур.
Подобное «явление» наблюдалось и в 1999 году в Югославии в ходе агрессии стран НАТО, когда генштаб югославской армии из-за внезапного отказа всего компьютерного и сетевого оборудования тоже остался без связи с войсками и потерял управление.
Многое стало понятно после того, как бывший сотрудник ЦРУ и СНБ США Эдвард Сноуден в 2013 г. передал в СМИ материалы, свидетельствующие о беспрецедентной деятельности американских спецслужб в области кибервойн и их технических возможностях.
Intel ME, Intel AMT
Начиная с 2006-го года Intel имплантирует в свои чипсеты, а последние годы и прямо в CPU, крохотный, тайный, но крайне важный для функционирования всего железа микроконтроллер. Правильней, впрочем, будет называть его микрокомпьютером, что сразу облегчит понимание.
И получается, что на каждом компьютере с интеловским чипсетом сегодня работает тайный соглядатай, ни проконтролировать которого, ни повлиять на, ни даже понять до конца пользователи не в состоянии! Хуже того, есть опасения, что его особенностями и слабостями могут пользоваться иностранные спецслужбы и злоумышленники (последнее уже случалось - дважды!). Отсюда логичный вопрос: а нельзя ли его отключить? Короткий ответ: нет.
При этом технология ATM позволяет пользователям, имеющим соответствующие права, удаленно форматировать диски на вашем компьютере, переразбивать их, устанавливать операционную систему, т. е. полностью контролировать работу компьютера и вносить в нее изменения.
Список Сноудена
Разоблачение от бывшего сотрудника ЦРУ/АНБ Сноудена даёт большой материал для анализа методов, используемых американской разведкой для получения необходимой информации без согласия пользователей.
Среди производителей компьютерного и сетевого оборудования, в которое ЦРУ и АНБ устанавливало программные и аппаратные закладки Сноуден назвал и одну из крупнейших в мире компаний, разрабатывающих и продающих сетевое оборудование, а именно американскую транснациональную компании Cisko.
Надо отметить, что эта кампания являлась крупнейшим поставщиком в Россию сетевого оборудования и по сути контролировала российский рынок. В результате создалась ситуация, когда практически вся сетевая структура нашей страны оказалась под контролем американских спецслужб. Проблема осложнялась тем, что изъять закладки из установленного оборудования практически невозможно, зачастую его надо просто демонтировать, а производство сетевого оборудования в России отсутствует.
После разоблачений Сноудена продажи продуктов Cisco в России упали на 31%. Но было уже поздно - в 2016 году в России было обнаружено 42 тысячи устройств Сisco с закладками американских спецслужб. Причем пока была выявлена только одна закладка под названием «уязвимость CVE-2016-6415».
По оценкам экспертов, это капля в море, поскольку помимо этой закладки существуют и другие, которые выявить практически невозможно. Тем более, что предполагается наличие в оборудовании Cisko и аппаратных закладок, которые входят в состав электронных комплектующих оборудования. А проверить каждую микросхему в каждом устройстве невозможно. По оценкам экспертов таких устройств с закладками в России сотни тысяч.
И обратите внимание - никто из руководителей нашей страны даже не выступил хотя бы с оценкой этого акта агрессии США против Российской Федерации и какие меры следует предпринять для срочной ликвидации последствий этого гигантского по своим масштабам покушения на суверенитет нашей страны.
Так ли страшен черт, как его малюют?
За десятилетия развития кремниевой микроэлектроники не обнаружено ни одной достоверно доказанной аппаратной закладки в массовых промышленных процессорах. Таким образом можно констатировать, что данная угроза является на данный момент чисто теоретической, но не нашедшей (по крайней мере пока) своё применение на практике.
Ещё одним косвенным (но очень весомым) доказательством отсутствия аппаратных закладок в процессорах являются события, развернувшиеся после 24 февраля 2022 года. После начала СВО на Украине, уровень противостояния России с США и ЕС достиг критического уровня.
Фактически, стороны используют практически все возможные методы нанесения ущерба, кроме прямого военного столкновения армий государств. В том числе осуществляются регулярные хакерские атаки на информационную инфраструктуру России, что приводило к обрушению некоторых государственных сервисов. Но всё это происходило только с использованием программных уязвимостей.
Ни у кого не возникает сомнения, что при наличии аппаратных закладок в процессорах Intel/AMD (на которых построена вся инфраструктура страны), они были бы использованы. Но этого мы не наблюдаем.
Сегодня даже в военной технике применялось и до сих пор широко применяется иностранная компонентная база. По данному поводу Минторг США даже инициировал отдельное расследование. Британский think tank RUSI опубликовал интересный отчёт с анализом компонентной базы в обломках ракет от Искандер-М и «Торнадо», а в конце привёл детальный список зарубежных изделий в захваченной на Украине станции РЭБ Борисоглебск-2. И тем не менее, каких-либо массовых проблем с выходом военной техники из строя из-за активации закладок также не наблюдается.
Знают ли об этих закладках в России? Да. В нашей стране создан Центра защиты информации и спецсвязи ФСБ. Эта структура в составе ФСБ занимается обеспечением информационной безопасности в стране и регулирует деятельность государственных и коммерческих организаций, которые имеют отношение к защите информации.
Она также регламентирует меры по защите информации для госструктур и коммерческих фирм, обрабатывающих секретную и конфиденциальную информацию. Эта структура сегодня успешно борется со всеми угрозами, которые несет использование электронной иностранной техники в важных государственных отраслях: военной, политической, экономической.
