通信人家园
标题:
戴尔PowerEdge服务器上CPU处理器被用来间谍调用
[查看完整版帖子]
[打印本页]
时间:
2023-11-14 11:35
作者:
难得糊涂2008
标题:
戴尔PowerEdge服务器上CPU处理器被用来间谍调用
间谍器材之“上帝汹涌”,戴尔PowerEdge服务器成为最大受害者
仔细品味美国国家安全局(NSA)给其先进网络技术部(ANT)的间谍器材取的代号,还真都挺有意思的。比如之前提到的“HOWLERMONKEY”,中文直译为“吼猴”,猴子叫传不了多远,所以“吼猴”是一款无线近距离通信模块。本篇文章,要讲的是代号“GODSURGE”的软件木马,中文直译为“上帝汹涌”,它能够直接操控服务器的处理器,实现“上帝般无所不能”的功能,确实名如其物。
根据资料页,GODSURGE是一款木马软件,通过对服务器处理器的JTAG调试接口的利用,GODSURGE能够运行在FLUXBABBITT硬件木马上,在戴尔PowerEdge服务器上提供软件应用程序持久性后门。
此技术支持使用至强5100和5300处理器的Del PowerEdge 1950和2950服务器。
想要突破拦截,必须将JTAG扫描链重新连接到目标系统上,方法是从机箱中卸下主板,然后将空置的部件(指的是FLUXBABBITT)装回电路板。完成此步骤后,FLUXBABBITT硬件木马就连接到主板上了。FLUXBABBITT木马应该已经用GODSURGE应用程序代码及其载荷(木马安装程序)编程。木马植入后,GODSURGE的执行频率(释放有效负载)是可配置的,每次目标机器开机时就会执行。
搜索FLUXBABBITT相关信息,可以发现它是一个相当聪明的间谍器材。它利用的是英特尔处理器的“XDP”(extended Debug Port)端口--一个类似JTAG端口的调试接口。实际上,XDP端口不是一个标准的JTAG端口,它甚至没有特定的标准。通过XDP端口可以访问英特尔处理器的寄存器、查看和编辑内存的内容,发起总线读写操作。
根据GODSURGE的工作原理--通过FLUXBABBITT硬件,恶意利用英特尔处理器的XDP调试接口,因此理论上支持XDP的英特尔Core, Core 2 Duo, Nehalem, Sandy Bridge等架构处理器都可能成为GODSURGE的受害者。 DELL PowerEdge 1950和2950服务器只是受害者代表,惨遭曝光。
通信人家园 (https://www.txrjy.com/)
Powered by C114