E se a gente dissesse que mais de 30 companhias norte-americanas — incluindo bancos, gente que lida com dados do governo yankee e as trilionárias Apple e Amazon – deixaram seus servidores vulneráveis para a espionagem chinesa? E se contássemos que hackers do país asiático inseriram um chip nas placas-mãe dos equipamentos adquiridos por essas marcas e organizações, e o tal equipamento era capaz de roubar infos vitais? A essa altura do texto, a gente assume que vocês já sacaram que não inventamos nada. E nem estamos assistindo tanto a Missão Impossível. Isso tudo realmente aconteceu. Estamos falando do que oficiais descrevem como o maior ataque a uma supply chain já direcionado contra o mercado dos EUA na história.
Jogo de espiões
De acordo com uma baita reportagem da Bloomberg, o tal chip-espião provavelmente tinha dois objetivos claros em longo prazo: 1) acessar segredos corporativos de alto impacto e 2) ter acesso a redes sensíveis do governo americano. O ponto "positivo", se é que dá para encarar assim, é que os hackers chineses não tinham o menor interesse em saber que a sua senha de e-mail é "SkaterBoy123". Os caras miraram mesmo nos peixes grandes. A gente explica os personagens desse rolo todo em bullets:
- Elemental: é uma startup do Oregon que produz softwares para compressão de arquivos de vídeo e formatação desse conteúdo para vários devices. Em 2015, levando em conta o quanto investiu em streaming audiovisual, o CEO da Amazon, Jeff Bezos, considerou que esse seria um baita aquisição para seu portfólio. Além de tudo, os caras ainda ajudavam nas comunicações da Estação Internacional Espacial e tinham alguns contratos em relação à transmissão com imagens de drones da CIA. Não era o principal negócio da Elemental, mas ajudava nas pretensões da gigante de Seattle. Foi por isso que a...
- Amazon: a gigante do e-commerce resolveu que faria uma auditoria de segurança na startup antes de bater o martelo para fechar o negócio. Afinal de contas, era uma marca com contratos com o governo dos EUA. Acabou fazendo a compra por USD 500 milhões. É aqui que entra a...
- Supermicro: a empresa de quem a Elemental comprava os servidores que lidavam com a compressão de vídeos. A Super Micro Computer Inc. é uma das maiores fornecedoras de placa-mãe para servidores do planeta. Acontece que seus hardwares tinham algo mais do que o que se esperava quando olhados de perto. Bem de perto. No meio da placa, como quem não queria nada, havia um microchip (do tamanho de um grão de arroz) que não estava previsto no design original do tal equipamento. É ele o espião entre os circuitos.
- Chineses: por enquanto, os principais suspeitos nessa treta.
Supermico
Apesar de ser baseada em San José (Califórnia), a Supermicro terceiriza sua produção para fábricas chinesas. E, ao que parece, é nesse momento que suas placas receberam o tal "boi na linha". E a situação é bastante assustadora, já que a espionagem pode estar rolando há um bom tempo e com muita gente. Até 2015, a marca tinha mais de 900 clientes, distribuídos por 100 países. Para se ter uma ideia, há quem chame a Supermicro de "a Microsoft do hardware". Importante saber que o chip do tamanho de um grão de arroz permite poucas ações para os hackers. Uma delas é comandar o device a se comunicar com outros computadores anônimos via internet (estes, sim, cheios de softwares maliciosos). Outra, preparar o sistema operacional da placa para aceitar novas linhas de código. Ou seja, basicamente, o chip cria uma porta de entrada para os hackers.
The treta
Ok, agora vamos deixar de pensar nas empresas um pouco e olhar para o cenário macro. A China fabrica cerca de 75% dos celulares do mundo e 90% dos computadores. E as relações entre o país e os Estados Unidos andam bem abaladas, com Donald Trump questionando diversas exigências de Pequim para que empresas norte-americanas operem por lá e impondo tarifas comerciais em produtos vindos de lá (inclusive, sobre placas-mãe). E seu equivalente, Xi Jiping, retrucando no mesmo nível. O que queremos dizer é que há uma guerra comercial rolando, então, imagine o impacto que uma notícia dessas pode gerar? Ainda mais considerando que entre os lugares que usam os equipamentos da Elemental (fabricados pela Supermicro, só para lembrar), há o Departamento de Defesa Americano, a rede de navios de guerra da Marinha e as operações de drones da CIA. The shit is real.
Comigo não morreu
De acordo com todas as empresas citadas, não aconteceu nada. A gigante do e-commerce nega qualquer tipo de descoberta relacionada ao hardware da fornecedora de sua startup. Mas se sabe que a companhia compartilhou informações sobre a sabotagem com o FBI, que estaria conduzindo uma investigação própria. Já a Supermicro se declara disposta a trabalhar com qualquer governo, mas não sabe de nenhum tipo de manipulação indevida de seus produtos. Segundo a Bloomberg, a Apple é uma das marcas que descobriram esse tipo de hardware malicioso em 2015, mas preferiu tratar o tema de maneira interna, reportando o acontecido apenas para os marshals.
Se o caso for realmente confirmado, há um potencial devastador na notícia. Até porque esse tipo de espionagem pode ser feita por tempo indeterminado, roubar informações sensíveis das companhias mais poderosas do mundo – e sei lá se não é bom temer pela segurança dos meninos da Estação Espacial Internacional.
Se o caso for realmente confirmado, há um potencial devastador na notícia. Até porque esse tipo de espionagem pode ser feita por tempo indeterminado, roubar informações sensíveis das companhias mais poderosas do mundo – e sei lá se não é bom temer pela segurança dos meninos da Estação Espacial Internacional.
