去年秋天,当一家IT公司要求芬兰网络安全公司F-Secure分析其部分设备时,客户并不担心新的恶意软件感染或最近的入侵。相反,它发现它的一些核心思科设备-在其内部网络中传输数据时负责路由数据的设备-是假货,几周来一直潜伏在其基础设施中而未被发现。
假冒思科设备相对常见,很大程度上是因为该公司无处不在。思科有一个完整的品牌保护部门,致力于与执法部门合作,并提供帮助客户验证其设备合法性的工具。尽管如此,假冒的思科产品仍然无处不在,而且它们是诈骗者的大生意。
然而,对研究人员来说,对假冒产品的详细拆解是一个特殊的机会,可以让他们了解它们是如何受到数字攻击的。F-Secure分析的设备伪装成Cisco Catalyst 2960-X系列交换机-连接内部网络上的计算机以在它们之间路由数据的受信任设备。在这种情况下,看起来这些假货只是为了盈利而制造的。但他们拥有的特权网络地位可能被利用来放置所谓的后门,让攻击者窃取数据或传播恶意软件。
F-Secure的硬件安全主管安德里亚·巴里萨尼(Andrea Barisani)表示,这就像现在你有一块假劳力士一样-除非你真的打开它看看机芯,否则真的很难分辨。
思科鼓励客户从公司自身或授权经销商处购买设备。然而,在实践中,采购链可能会在公开市场上膨胀,网络设备供应商可能会在不经意间以假货告终。
研究人员分析的假开关一直工作正常,直到一次例行的软件更新基本上把它们堵上了,告诉F-Secure客户出了问题。在他们的分析中,F-Secure研究人员发现假冒设备与用于参考的正品Cisco 2960-X系列交换机之间存在细微的外观差异。小标签,如以太网端口旁边的数字,没有对齐,而且假冒设备缺少思科在真实设备上贴上的全息贴纸。F-Secure指出,一些赝品有这个标签,但没有这个标签的设备几乎肯定是假的。
思科发言人在一份声明中表示,假冒产品对网络质量、性能、安全和可靠性构成严重风险。为了保护我们的客户,思科积极监控全球假冒市场,并实施全面、无处不在的价值链安全架构,该架构由各种安全控制措施组成,以防止假冒。
F-Secure团队在设备电路板上发现了一些小的差异和篡改的迹象,但有一个特别的分歧立即突出了出来。其中一个假冒设备的电路板上有一个非常明显的额外存储芯片。经过更多的调查,研究人员意识到他们的客户寄来的另一个假冒样品有一个更微妙和更复杂的修改版本,以达到同样的目的。通过数字取证分析,F-Secure发现,这两个版本的黑客都利用了交换机设计中的一个物理缺陷,绕过了思科的完整性检查。这样做的目的是绕过思科的安全启动功能,该功能可以在设备受到攻击或非法时阻止其启动。
领导这项研究的F-Secure高级硬件安全顾问德米特里·雅努什凯维奇(Dmitry Janushkevich)表示,我们知道的是,在主要应用程序中实现了一种身份验证机制,能够检测到软件在假冒硬件上运行。很可能,造假者要么没有弄清楚,要么认证方法足够好,所以他们无法解决、购买或伪造这一部分。否则,他们将能够产生一个完美的克隆。因此,他们选择了剩下的唯一选择,那就是绕过安全引导。
解决办法也不能创建完美的克隆,因为交换机上运行的思科软件-真实的、但盗版的思科代码-仍然需要在内存中打补丁,或者在设备被诱骗启动后进行操作,以使一切兼容并通过思科的软件完整性检查。从技术上讲,这意味着对设备的更改是持久的,因为每次重新启动设备时,它们都需要像第一次一样再次运行。然而,在实践中,解决办法是成功的-至少在思科推动更新,无意中使假冒产品无法操作之前是这样。
然而,除了这些恶作剧之外,研究人员没有发现任何证据表明这些假货是为了监视开关或对它们进行后门操作,以供攻击者访问。这对F-Secure的客户来说是个好消息,但研究人员警告说,假冒设备是攻击的完美蓝图。
巴里萨尼说,在这样的设备上进行真正恶意植入的影响可能是巨大的,因为在这一点上,攻击者基本上控制了那个网络。归根结底,我们非常有信心,我们发现了这些设备中正在发生的一切,尽管我们从来不会说百分之百是在安全领域。然而,当有人想要制造恶意设备时,可以使用或使用这些相同的技术。你经常会看到人们对供应链攻击进行理论推导,而这可能是供应链攻击的一种形式。
研究人员向思科通报了假冒产品所依赖的硬件漏洞。该公司表示,他们正在优先调查这位研究人员的发现,并将通知客户任何相关的结论。攻击者需要物理设备访问才能利用该漏洞,因为这是一个硬件问题,但研究人员指出,这不仅仅是对假冒设备的担忧。该漏洞存在于真正的思科硬件中,也可能被用来破坏真实产品中的安全启动等保护。由于这是一个硬件缺陷,思科不太可能在已经制造和部署的设备上修复它。
长期从事思科安全研究的嵌入式设备安全公司Red Balloon的首席执行官崔昂(Ang Cui)说,F-Secure的研究是对假冒设备威胁的重要提醒。不过,他指出,该公司分析的假货是低端交换机,就企业网络设备而言,它们的价格并不高--在当前市场上,每台大约600美元。考虑到这样的产品对思科来说利润率相当低,更不用说伪造产品了,崔说他很惊讶没有发生更邪恶的事情。
崔说,这非常有趣,因为这个开关非常便宜,是一匹主力,没有什么花哨的东西。我认为,任何有商业头脑的人都不会将这款产品与其他一些思科设备相比较。但对攻击者危害交换机的好处是它直接连接到网络上的计算机。因此,如果人们不厌其烦地伪造这些东西,我认为他们会恶意植入硬件,即所有数据流动的交换结构。
作为工作的一部分,F-Secure试图帮助客户追踪假货的来源,但采购历史模糊不清。这就是为什么盗版设备可以用于供应链攻击的原因。攻击者不需要损害思科或另一家公司的运营,只需破坏最后一个环节:分销。
🎙️收听“连线”,这是我们关于未来如何实现的新播客。收看最新剧集,订阅📩时事通讯,跟上我们所有节目的最新动态。
苹果(📱)在最新款手机之间左右为难?永远不要害怕-查看我们的iPhone购买指南和最喜欢的Android手机