Министерство транспорта Российской Федерации
ФГУП «ЗащитаИнфоТранс»

Китайские микрочипы

По сообщениям информационного агентства Bloomberg со ссылкой на источники, стало известно, что на некоторых электронных платах китайского производства были обнаружены микрочипы неизвестного назначения

и не описанные в документации. На протяжении десятилетий в IT-индустрии были уверены, что поставки китайского оборудования безопасны, так как внедрение шпионских чипов — это сложный и дорогостоящий процесс.

Подобные случаи были обнаружены еще в 2015 году компаниями Apple и Amazon, после чего им пришлось избавиться от серверов-шпионов.

Специалисты, проводившие проверку, неожиданно обнаружили на системных платах серверов Elemental Technologies крохотную недокументированную микросхему. Данная микросхема позволяла получить контроль над сервером и другими системами в сети. В отличие от программных средств такого же назначения ее практически невозможно выявить и заблокировать. Серверы были поставлены компанией Super Micro Computer (Supermicro). В ходе расследования выяснилось, что платы были модифицированы на производстве субподрядчика Super Micro Computer, размещенном в Китае.

В настоящее время обнаруженная уязвимость обнаружена не только в 30 крупных коммерческих компаниях, но и в некоторых правительственных организациях в США. Несмотря на то, что Amazon и Apple заявили, что утверждения Bloomberg  не имеют под собой оснований, а компания Super Micro Computer сообщает, что ей ничего не известно о таком расследовании и что ни один из ее клиентов не отказался пользоваться ее продукцией из-за опасений хакерских атак, эксперты расценивают данную ситуацию «highly likely». Разработка топологии чипа-закладки под силу многим IT-компаниям в мире, а уж ее внедрение – это дело спецслужб.

В связи с этим Центр кибербезопасности ФГУП «ЗащиатИнфоТранс» рекомендует в целях предотвращения утечки коммерческой тайны, охраняемой законом информации, а также для обеспечения непрерывности и управляемости заданного технологического процесса в информационных системах, автоматизированных системах управления и информационно-телекоммуникационных сетях использовать проверенное оборудование, сертифицированное на отсутствие недекларированных возможностей, а в отдельных случаях - прошедшее процедуру специальной проверки и специальных исследований в российской системе сертификации.