China baute im großen Stil einen Spionagechip auf Computerplatinen ein, die  in Hochleistungsservern installiert wurden. Diese wurden an etwa 30 Unternehmen in den USA geliefert wurden.

Cyberbedrohung, China – viele haben seit Jahren das Bauchgefühl „da ist was faul“. Genau was, und wie groß die Gefahr wirklich war, konnte keiner genau sagen. Kleinigkeiten flogen immer wieder mal auf und alles deutete dabei auf die chinesische Cyberarmee hin. Aber das war nur die Spitze des Eisbergs, wie sich herausstellte. Denn tatsächlich wussten laut einem Bericht von Bloomberg, die größten IT-Unternehmen der Welt, Amazon und Apple, und auch das Pentagon seit mindestens drei Jahren, dass die Bedrohung aus China real und sehr gefährlich war. Die Allgemeinheit ging immer von bösartiger chinesischer Software und Hackerangriffen aus. Die Chinesen versprachen Barack Obama sogar ganz artig, keine Software mehr zu manipulieren. Derweil sattelten sie schon ein anderes Pferd. Sie steckten den Teufel oder besser gesagt, das Teufelchen, in die Hardware wichtiger Systemkomponenten.

Manchmal dauert es Jahre, bis die ganze Geschichte öffentlich gemacht werden kann. Das lag in diesem Fall daran, dass das Thema hochbrisant und noch nicht ganz durchsichtig war. Die Untersuchungen des Pentagons nahmen Zeit in Anspruch und begannen schon unter Barack Obama. Und die Chinesen sollten erst einmal im Dunkeln belassen werden, das Verhältnis war ohnehin nicht das Beste. Denn bei diesem ziemlich dreisten Fall von digitaler Spionage stand ein sehr kleiner Chip im Mittelpunkt. Er wurde im großen Stil auf Computerplatinen von Hochleistungsservern vorinstalliert, die an etwa 30 Unternehmen in den USA geliefert wurden. Alles lief glatt, bis 2015 Amazon mit dem Gedanken spielte, das interessante Start-up Elemental Technologies zu erwerben. Dessen Technologien waren für Amazons Videodienst Prime interessant, da sie sehr große Videodateien komprimieren konnten für alle möglichen Endgeräte. Aber auch für AWS – Amazon Web Services, waren die Produkte von Elemental Technologies von Interesse.

AWS veranlasste, dass Elemental Technologies vor dem Kauf auf Herz und Nieren überprüft wurde. Schon die ersten Testergebnisse waren beunruhigend, sodass die Untersuchungen auf die Produkte ausgeweitet wurden. Dort wurden dann winzige Mikrochips auf einer Platine entdeckt, die dort nichts zu suchen hatten. Amazon meldete diesen Fund pflichtgemäß den US-Behörden. So langsam dämmerte es allen Beteiligten, wie weitreichend der Fund dieses Spionage-Chips wirklich war. Elemental ließ seine Hochleistungsserver nämlich von Super Micro Computer Inc. bestücken. Dieses Unternehmen ist weltweit der größte Hersteller von Motherboards für Server. Die Produkte von Elementals aber wurden eingesetzt in Amerikas wichtigsten militärischen Rechenzentren.

Drei Jahre Ermittlungsarbeit des Pentagons zum Spionagechip

Daher übernahm ab hier das Pentagon die weiteren Ermittlungen. Es war von vornherein klar, dass diese Sache einige Nummern zu groß war für die „normalen“ Hackergruppen. Hinter diesem Vorfall konnte nur eine Spionageorganisation mit immensen Geldressourcen stecken. Im Laufe der letzten drei Jahre konnten die Ermittler die Spur zurückverfolgen bis nach China. Dort hatten chinesische Subunternehmer die Spionagechips auf die Platinen aufgebracht. Die reiskorngroßen Chips sollten als ein versteckter Zugang dienen, zu einem Netzwerk, mit dem die manipulierten Server verbunden sind. Dieses Vorhaben überhaupt durchzuziehen ist unglaublich schwer, so die Experten, die dieses Vorgehen „Seeding-Angriff“ nennen. Nötig sind dafür ein tiefes Produktwissen und Kenntnisse der gesamten Logistikkette des Produkts sowie der einzelnen Komponenten.

Die Größe des Chinesischen Spionagechips im Maßstab (Bild: Bloomberg Businessweek)

Das Pentagon bekam schon 2014 Wind von chinesischen Plänen, Spionage-Mikrochips in die Lieferkette einzuschleusen. Sogar der Name Super Micro fiel damals. Allerdings war alles politisch ganz heikel und konnte nicht publik gemacht werden. Keine entsprechenden Sicherheitsvorfälle wurden gemeldet. Das FBI lag daher auf der Lauer bis Apple sich als erster meldete im Mai 2015.

Die Apple Ingenieure waren auf seltsame Fehlermeldungen bei der Netzwerkaktivität und der Firmware gestoßen. Als Amazon dann ebenfalls vorstellig wurde, rollten die Untersuchungen der Cyber- und Spionageabwehr an. So bekamen sie zum ersten Mal die Microchips zu sehen. Auf Digitalfotos und Röntgenbilder sahen die winzigen grauen oder cremefarbenen Chips wie unscheinbare Motherboard-Komponenten aus. Die Chips waren unterschiedlich groß, was darauf schließen ließ, dass unterschiedliche Fabriken mit unterschiedlichen Chargen beliefert wurden.

Die US-Ermittler konnten in langer Arbeit, bis aufs letzte Glied nachvollziehen, wo Agenten einer Einheit der Volksbefreiungsarmee die Spionagechips in die Lieferkette eingeschleust hatten. Das war eine Mammutaufgabe, aber Dank Lieferscheine und Seriennummern und sonstigem Spionage-Hightech zu bewerkstelligen. Super Micro hatte drei Hersteller, die ihre Platinen herstellten – zwei in Taiwan und einen in Shanghai. Diese vergaben die Herstellung manchmal an Subunternehmer. Die US-Geheimdienste durchsuchten Kommunikationsabschnitte, griffen auf Informanten in Taiwan und China zurück und verfolgten wichtige Personen via Mobiltelefone.

Am Ende war klar, dass die Spionagechips von vier Subunternehmern in die Super Micro-Motherboards eingebaut wurden. Ein Geflecht aus chinesischen Beamten, Motherboard-Herstellern und Zwischenhändlern war an diesem Fall beteiligt. Betriebsleiter in China bekamen Besuch von angeblichen Super Micro Vertretern. Von Zwischenhändlern wurden Änderungen an den Originalentwürfen der Motherboards verlangt. Und Bestechungsgelder oder Bedrohungen aller Art wurden eingesetzt gegen uneinsichtige Hersteller. Das ging weiter, bis der Letzte einknickte. Dann konnten die Spionage-Chips platziert werden. Das alles trägt die typische Handschrift der chinesischen Cyberarmee. Soweit dieser Krimi.

Die Spionage-Chips hatten übrigens die simple Aufgabe, Türen zu öffnen, durch die andere Angreifer passieren konnten. Sie manipulierten die Anweisungen auf der Super Micro-Hardware, die dem Server mitteilen, was zu tun ist, wenn sich Daten über ein Motherboard bewegen. Der Spionage-Chip wurde so geschickt auf dem Motherboard platziert, dass er alle Informationen zum Zentralprozessor des Servers, der CPU, oder zum temporären Speicher bearbeiten konnte. Er konnte seinen eigenen Code injizieren oder die Reihenfolge der Anweisungen ändern, denen die CPU folgen sollte. Und der Chip konnte auch mit anderen Spionagecomputern im Netz kommunizieren, wo komplexerer Code gespeichert war. Die Chips konnten all dies tun, weil sie mit dem Baseboard-Management-Controller verbunden waren, einer Art Super-Chip, mit dem Administratoren sich auf problematischen Servern per Fernverbindung anmelden können, selbst auf solche, die abgestürzt oder abgeschaltet sind.

In diesem Fall hatte China jedoch nur das Ziel, langfristig Zugang zu Geschäftsgeheimnissen und sensiblen Regierungsnetzwerken zu bekommen. Es gibt bisher keine Hinweise darauf, dass Daten gestohlen wurden. Bis jetzt hat sich aber auch keine kommerzielle Methode zur Erkennung von Spionage-Chips wie diesen aufgetan. Was die Chinesen hier eingesetzt haben, sei „das Allerneueste vom neuesten Stand der Technik“. China stellt schätzungsweise 75% aller Mobiltelefone weltweit her und 90% aller PCs, eine erschreckende Erkenntnis!

Apple hat jedoch die Berichte dementiert.

Der Artikel von Bloomberg wirbelte die vergangenen Tage einigen Staub auf. Es wird gerätselt, wie viel daran wahr ist. Der Computer-Verlag Heise stellt den Pros die Cons gegenüber: auch die Experten sind noch uneins. Es können nur die Untersuchen zeigen, die es in naher Zukunft geben wird.

„Außerdem können Experten jetzt damit beginnen, Supermicro-Boards gezielt auseinander zu nehmen und zu analysieren. Mit etwas Glück werden außerdem weitere Fälle bekannt werden. Oder jemand der solche Wanzen tatsächlich gefunden und analysiert hat, meldet sich jetzt zu Wort. Spätestens in ein oder zwei Wochen sollte etwas klarer sein, was wirklich Phase ist.“

Artikel von Bloomberg, 04.10.2018: The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies
Artikel von heise.de, 05.10.2018: Winzige Spionage-Chips aus China: Was dafür spricht – und was dagegen

Urheberrechte Beitragsbild: Public Domain, Creative Commons CC0