Cấu trúc Chiếc Đồng hồ báo giả của Cisco Cho thấy Tiềm năng Nguy hiểm

Khi một công ty I.T. yêu cầu công ty an ninh mạng F-Secure của Phần Lan phân tích một số thiết bị của mình vào mùa thu năm ngoái, khách hàng không lo lắng về việc nhiễm phần mềm độc hại mới hoặc việc xâm nhập gần đây. Thay vào đó, họ đã phát hiện ra rằng một số thiết bị Cisco chính của họ—những thiết bị chịu trách nhiệm định tuyến dữ liệu khi nó chuyển động qua mạng nội bộ của họ—đã là hàng giả đã lẻn trốn không được phát hiện trong cơ sở hạ tầng của họ trong vài tuần.

Các thiết bị Cisco giả mạo khá phổ biến, chủ yếu là do sự phổ biến của công ty này. Cisco có một bộ phận bảo vệ thương hiệu hoàn chỉnh dành cho việc hợp tác với cảnh sát, và họ cung cấp các công cụ giúp khách hàng xác minh tính hợp lệ của thiết bị của họ. Tuy nhiên, các sản phẩm Cisco giả mạo vẫn phổ biến và là một ngành kinh doanh lớn cho những kẻ lừa đảo.

Một phân tích chi tiết về hàng giả, tuy nhiên, là cơ hội đặc biệt cho các nhà nghiên cứu hiểu được làm thế nào chúng có thể bị đe dọa bởi các cuộc tấn công số. Các thiết bị mà F-Secure đã phân tích giả mạo là các công tắc dòng Cisco Catalyst 2960-X—các thiết bị đáng tin cậy kết nối máy tính trên mạng nội bộ để định tuyến dữ liệu giữa chúng. Trong trường hợp này, có vẻ như các sản phẩm giả đã được tạo ra đơn giản chỉ vì lợi nhuận. Nhưng vị trí mạng đặc quyền mà chúng giữ có thể đã bị lợi dụng để đặt một cửa sau gọi là backdoor để cho phép những kẻ tấn công đánh cắp dữ liệu hoặc lây nhiễm phần mềm độc hại.

"Giống như khi bạn có một chiếc đồng hồ Rolex giả ngày nay—trừ khi bạn thực sự mở nó ra và nhìn vào bộ máy, rất khó để phân biệt," nói Andrea Barisani, trưởng nhóm an ninh phần cứng tại F-Secure.

Cisco khuyến khích khách hàng mua thiết bị từ chính công ty hoặc các nhà phân phối được ủy quyền. Tuy nhiên, trong thực tế, chuỗi cung ứng có thể mở rộng trên thị trường mở, và các nhà cung cấp thiết bị mạng có thể vô tình có sản phẩm giả mạo.

Các công tắc giả mạo mà các nhà nghiên cứu đã phân tích đã hoạt động bình thường cho đến khi một bản cập nhật phần mềm định kỳ về cơ bản làm hỏng chúng, khiến khách hàng của F-Secure nhận ra rằng có điều gì đó không ổn. Trong phân tích của họ, các nhà nghiên cứu của F-Secure đã phát hiện ra những khác biệt nhỏ về mặt thẩm mỹ giữa các thiết bị giả mạo và một công tắc dòng Cisco 2960-X Series thực sự được sử dụng để tham chiếu. Các nhãn nhỏ, như các số bên cạnh cổng ethernet, đã bị lệch khỏi vị trí, và các thiết bị giả mạo không có tem nhãn 3D mà Cisco đặt trên các đơn vị thực sự. F-Secure chỉ ra rằng một số hàng giả có tem nhãn này, nhưng các thiết bị không có tem nhãn này hầu như chắc chắn là giả mạo.

"Sản phẩm giả mạo gây ra những rủi ro nghiêm trọng đối với chất lượng, hiệu suất, an toàn và đáng tin cậy của mạng lưới," một người phát ngôn của Cisco cho biết trong một tuyên bố. "Để bảo vệ khách hàng, Cisco tích cực theo dõi thị trường hàng giả toàn cầu cũng như triển khai một Kiến trúc An ninh Chuỗi Giá trị toàn diện và tỏa sáng bao gồm các điều khiển an ninh khác nhau để ngăn chặn hàng giả."

Đội ngũ F-Secure đã tìm thấy một số sự khác biệt nhỏ và dấu hiệu về sự can thiệp vào các bo mạch của các thiết bị, nhưng có một sự phân kỳ cụ thể đã nổi bật ngay lập tức. Một trong những thiết bị giả mạo có một vi mạch bộ nhớ rõ ràng thừa trên bo mạch. Sau thêm điều tra, các nhà nghiên cứu nhận ra rằng mẫu giả mạo khác mà khách hàng của họ đã gửi có một phiên bản sửa đổi tinh vi và tinh tế hơn để đạt được cùng mục tiêu. Qua phân tích pháp y kỹ thuật số, F-Secure phát hiện ra rằng cả hai phiên bản hack đã tận dụng một lỗi vật lý trong thiết kế của công tắc để bypass các kiểm tra tính toàn vẹn của Cisco. Mục tiêu là bypass tính năng Secure Boot của Cisco, ngăn thiết bị khởi động nếu đã bị xâm nhập hoặc không hợp lệ.

"Chúng tôi biết rằng có một cơ chế xác thực được thực hiện trong ứng dụng chính có thể phát hiện rằng phần mềm đang chạy trên phần cứng giả mạo," Dmitry Janushkevich, một cố vấn an ninh phần cứng cấp cao tại F-Secure dẫn dắt nghiên cứu, nói. "Có lẽ, những người làm giả không thể tìm ra hoặc phương pháp xác thực đủ tốt để họ không thể vượt qua, mua hoặc làm giả phần đó. Nếu không, họ có thể tạo ra một bản sao hoàn hảo. Do đó, họ đã chọn cách bypass Secure Boot."

Phương pháp tạm thời cũng không tạo ra bản sao hoàn hảo, bởi vì phần mềm Cisco đang chạy trên các công tắc—là mã code Cisco thực, nhưng bị vi phạm bản quyền—vẫn cần được "patch trong bộ nhớ," hoặc thao tác khi thiết bị bị đánh lừa để khởi động để làm cho mọi thứ tương thích và vượt qua các kiểm tra tính toàn vẹn phần mềm của Cisco. Kỹ thuật này có nghĩa là những thay đổi trên thiết bị không "lâu dài," bởi vì chúng cần chạy lại, như lần đầu tiên, mỗi lần khởi động lại thiết bị. Trong thực tế, tuy nhiên, các phương pháp tạm thời đã thành công—ít nhất cho đến khi Cisco đẩy một bản cập nhật không cố ý khiến các hàng giả không thể hoạt động.

Ngoài những trò lừa gạt đó, các nhà nghiên cứu không tìm thấy bằng chứng nào cho thấy rằng những sản phẩm giả được thiết kế để giám sát các công tắc hoặc tạo cửa sau cho kẻ tấn công truy cập. Điều này là tin tốt đối với khách hàng của F-Secure, nhưng các nhà nghiên cứu cảnh báo rằng những thiết bị giả mạo là một bản thiết kế hoàn hảo cho một cuộc tấn công.

"Tác động của một cấy ghép độc hại thực sự vào một thiết bị như vậy có thể rất lớn, bởi vì một kẻ tấn công về cơ bản đã kiểm soát mạng lưới tại thời điểm đó," Barisani nói. "Cuối cùng, chúng tôi rất tự tin rằng chúng tôi đã phát hiện ra mọi thứ đang diễn ra trong những thiết bị này, tuy nhiên, chúng tôi không bao giờ nói 100 phần trăm trong thế giới an ninh. Tuy nhiên, những kỹ thuật tương tự này là những kỹ thuật có thể được sử dụng hoặc đã được sử dụng khi ai đó muốn tạo ra một thiết bị độc hại. Bạn thường thấy người ta lý luận về các cuộc tấn công chuỗi cung ứng, và điều này có thể là một dạng của cuộc tấn công chuỗi cung ứng."

Các nhà nghiên cứu đã thông báo cho Cisco về lỗ hổng phần cứng mà các sản phẩm giả phụ thuộc vào. Công ty cho biết đang "nghiên cứu về các kết quả của nhà nghiên cứu với ưu tiên hàng đầu," và sẽ thông báo cho khách hàng về bất kỳ kết luận nào có liên quan. Kẻ tấn công sẽ cần truy cập vật lý vào thiết bị để tận dụng lỗ hổng, vì đó là vấn đề phần cứng, nhưng các nhà nghiên cứu chỉ ra rằng điều này không chỉ là một vấn đề cho các thiết bị giả mạo. Lỗ hổng này nằm trong phần cứng thực của Cisco, và nó có thể được sử dụng để phá hoại các bảo vệ như Secure Boot trong các sản phẩm thực sự. Và vì đó là một lỗi phần cứng, không có khả năng Cisco có thể sửa chữa nó trong các thiết bị đã được sản xuất và triển khai.

Nhà nghiên cứu an ninh lâu năm của Cisco, Ang Cui, người là CEO của công ty an ninh thiết bị nhúng Red Balloon, cho biết nghiên cứu của F-Secure là một lời nhắc nhở quan trọng về mối đe dọa từ các thiết bị giả mạo. Ông chỉ ra, tuy nhiên, rằng các sản phẩm giả mạo mà công ty nghiên cứu là các công tắc cấp thấp không tốn nhiều trong ngữ cảnh của trang thiết bị mạng doanh nghiệp—khoảng 600 đô la mỗi cái trên thị trường hiện tại. Với việc lợi nhuận từ sản phẩm như vậy sẽ tương đối thấp đối với Cisco, chưa kể đến người làm giả, Cui nói ông ngạc nhiên khi không có điều gì độc hại hơn đang diễn ra.

"Rất thú vị, bởi vì cái công tắc đó rất rẻ, nó là công cụ làm việc, không có gì đặc biệt," Cui nói. "Tôi không nghĩ ai có kiến thức kinh doanh sẽ làm hàng giả cái này so với một số thiết bị Cisco khác. Nhưng ưu điểm của việc tấn công một công tắc cho kẻ tấn công là nó kết nối trực tiếp với các máy tính trên mạng. Vì vậy, nếu mọi người đã vất vả để làm hàng giả những thứ này, tôi nghĩ họ sẽ tạo ra một cấy ghép độc hại trong phần cứng, bức xúc mà tất cả dữ liệu đều chảy qua."

Như một phần của công việc, F-Secure đã cố gắng giúp khách hàng của họ tìm nguồn gốc của các hàng giả, nhưng lịch sử cung cấp là mơ hồ. Đó chính là lý do tại sao các thiết bị không chính thống có thể được sử dụng trong các cuộc tấn công chuỗi cung ứng. Thay vì cần phải xâm nhập vào hoạt động của Cisco hoặc của một công ty khác, kẻ tấn công có thể chỉ cần làm mất uy tín ở mắt người tiêu dùng: phân phối.

Thêm nhiều bài viết tuyệt vời từ MYTOUR

• Đằng sau các thanh niên, nhưng vẫn đăng trên TikTok
• Bạn tôi bị mắc bệnh ALS. Để chống lại, anh ấy xây dựng một phong trào
• Deepfakes đang trở thành công cụ đào tạo doanh nghiệp mới nổi
• America có một sự ám ảnh bệnh Covid-19 polls
• Người đã phát hiện ra vắc xin đầu tiên?
• 👁 Chuẩn bị cho việc AI sản xuất ít kỳ diệu hơn. Ngoài ra: Nhận tin tức AI mới nhất
• 🎙️ Nghe Get MYTOUR, podcast mới của chúng tôi về cách tương lai được thực hiện. Theo dõi các tập mới nhất và đăng ký nhận 📩 bản tin để cập nhật với tất cả chương trình của chúng tôi
• 📱 Rối rắm giữa các điện thoại mới nhất? Đừng lo lắng—hãy xem hướng dẫn mua iPhone của chúng tôi và các điện thoại Android yêu thích