Hardware-Hack für kleines Geld

Spionage-Chips machen Server unsicher

17.10.2019
Von 
Jens Dose ist Redakteur der COMPUTERWOCHE und betreut in erster Linie Themen rund um IT-Sicherheit, Datenschutz und Compliance.
Security-Forscher Monta Elkins zeigt in einem Live-Hack, wie einfach Cyber-Kriminelle Hardwaresysteme übernehmen und Netzwerke unbemerkt ausspähen können.

Der Sicherheitskonferenz "CS3sthlm", die am 21. Oktober 2019 in Stockholm startet, dürfte größere öffentliche Aufmerksamkeit zukommen: Dort wird der Wissenschaftler Monta Elkins Informationen des Magazins "Wired" zufolge einen Hardware-Hack vorführen, der es in sich hat: Er soll praktisch zeigen, wie ein von Bloomberg 2018 beschriebener großflächiger Hardware-Angriff auch mit kleinem Budget funktionieren kann.

Der Live-Hack von Monta Elkins soll zeigen, wie einfach und günstig sich Unternehmens-Hardware ausspähen lässt.
Der Live-Hack von Monta Elkins soll zeigen, wie einfach und günstig sich Unternehmens-Hardware ausspähen lässt.
Foto: Titima Ongkantong - shutterstock.com

Elkins will anhand eines Proof of Concept demonstrieren, wie einfach und mit welch geringen Fähigkeiten und Mitteln - etwa 200 Dollar - Kriminelle in der Lage sind, kaum sichtbare Spionagechips auf Server-Mainboards anzubringen und sich einen Backdoor-Zugang zu Enterprise-Systemen zu verschaffen.

"Das ist weder magisch noch unmöglich, ich konnte das in meinem Keller tun. Und es gibt viele Leute, die noch viel schlauer sind als ich...", sagte Elkins. Er könne die Konfiguration der Firewall beliebig ändern und mit etwas Reverse Engineering wäre es aus seiner Sicht auch möglich, die Firmware neu zu programmieren. Dann könne die Firewall zum Ausgangspunkt für einen perfekten Spionageangriff auf das gesamte Netzwerk werden.

So funktioniert der Hack

Elkins nutzte einen Heißluft-Lötkolben für 150 Dollar, ein Mikroskop für 40 Dollar und ein paar Chips für je 2 Dollar, die er online kaufte. Er programmierte den Chip so, dass er eine Attacke auf eine Firewall startet, sobald diese im Netzwerk hochfährt.

Der Chip gibt sich als Security-Administrator aus, der über diesen Port auf die Konfigurationseinstellungen zugreift. Dann löst er die Passwort-Wiederherstellung aus, erstellt einen neuen Admin-Account und bekommt Zugang zu den Firewall-Settings. Dadurch kann er willkürlich Einstellungen ändern und so etwa Remote-Zugriff auf das Gerät gewähren, die Sicherheitseinstellungen ändern oder alle Log-Dateien und Verbindungen einsehen - alles, ohne einen Alarm auszulösen.

Elkins nutzte eine Cisco-ASA-5505-Firewall, da sie die günstigste war, die er finden konnte. Die Attacke sei aber auf jeder anderen Cisco-Firewall möglich, die dieselbe Recovery-Funktion bei einem verlorenen Passwort bietet.

"Wired" berichtet, dass Elkins Hack einem Proof of Concept von Security-Forscher Trammell Hudson folgt. Dieser hatte auf der Chaos Computer Conference im Dezember 2018 gezeigt, dass Angriffe, die sehr nahe an den von Bloomberg beschriebenen Umständen sind, funktionieren. Allerdings wäre dazu mehr Geld notwendig.

Was bisher geschah

Schon vor gut einem Jahr hatte der Nachrichtendienst "Bloomberg" behauptet, Konzerne wie Amazon und Apple verwendeten Server des US-Herstellers Supermicro mit manipulierten Motherboards, über die sich chinesische Hacker Zugang zu den Systemen verschaffen könnten. Damals sprach der US-Geheimdienst NSA von einem Fehlalarm, Bloomberg musste einigen Spott aus der Security-Szene über sich ergehen lassen.

Bloomberg berichtete, eine 2015 von Amazon beauftragte Sicherheitsfirma sei bei Security-Checks des zum Kauf auserkorenen Video-Software-Startups Elemental Technologies auf die Mikro-Spione gestoßen. Amazon meldete die Entdeckung an die US-Behörden und sorgte damit für Aufruhr. Solche Server waren auch im US-Verteidigungsministerium, bei der CIA und der US-Navi im Einsatz.

Die folgende, noch andauernde Untersuchung ergab, dass die unscheinbaren Bauteile eine geheime Hintertür in jedes Netzwerk öffnen, in dem die betroffenen Server arbeiten. Laut Bloomberg fanden die US-Ermittler heraus, dass die Chips in Fabriken eines Subunternehmers in China in die Server eingebaut wurden. Diese Art der hardwarebasierten Attacke auf eine Lieferkette wird "Seeding" genannt und bezeichnet Veränderungen bereits am Anfang der Geräteproduktion. Solche Angriffe müssten von langer Hand geplant worden und Millionen Dollar teuer in der Umsetzung sein. Es sei ein tiefes Verständnis des Produktdesigns notwendig und die Veränderung müsse so unauffällig sein, dass sie entlang der globalen Logistikkette bis zum Ziel der Attacke nicht bemerkt werde.

Laut US-Regierungssprechern war es das Ziel des Angriffs, langfristig Zugang zu Unternehmensgeheimnissen und sensiblen Netzwerken zu erhalten. Persönliche Daten von Endverbrauchern seien nicht gestohlen worden.

Damals seien über 30 Unternehmen betroffen gewesen, darunter eine Großbank und Betriebe, die Behördenaufträge hatten. Apple stritt in einem Statement ab, manipulierte Hardware bei sich gefunden zu haben und Supermicro sagte, man wisse von keiner Untersuchung. Dem gegenüber stehen laut Bloomberg Behauptungen von anonymen Amazon- und Apple-Insidern sowie nationalen US-Sicherheits-Beamten: Die Chips seien entdeckt worden und es gäbe eine Untersuchung durch die Regierung.

200 Dollar sind kein Staatsakt

Da die Untersuchungen andauern und es keine weiteren Informationen gibt, ist noch nicht klar, ob die Chips tatsächlich in China eingebaut wurden. Eine andere mögliche Manipulationsmethode wäre "Interdiction". Sie bezeichnet die Manipulation von Hardware auf dem Weg vom Hersteller zum Kunden. Da Monta Elkins lediglich 200 Dollar für den Hack braucht, den er auf der CS3sthlm vorführen wird, wäre auch diese Angriffsart irgendwo in der Lieferkette der betroffenen Supermicro-Server denkbar.