戴尔PowerEdge服务器上CPU处理器被用来间谍调用

难得糊涂2008

间谍器材之“上帝汹涌”，戴尔PowerEdge服务器成为最大受害者

仔细品味美国国家安全局（NSA）给其先进网络技术部（ANT）的间谍器材取的代号，还真都挺有意思的。比如之前提到的“HOWLERMONKEY”，中文直译为“吼猴”，猴子叫传不了多远，所以“吼猴”是一款无线近距离通信模块。本篇文章，要讲的是代号“GODSURGE”的软件木马，中文直译为“上帝汹涌”，它能够直接操控服务器的处理器，实现“上帝般无所不能”的功能，确实名如其物。

根据资料页，GODSURGE是一款木马软件，通过对服务器处理器的JTAG调试接口的利用，GODSURGE能够运行在FLUXBABBITT硬件木马上，在戴尔PowerEdge服务器上提供软件应用程序持久性后门。

此技术支持使用至强5100和5300处理器的Del PowerEdge 1950和2950服务器。

想要突破拦截，必须将JTAG扫描链重新连接到目标系统上，方法是从机箱中卸下主板，然后将空置的部件（指的是FLUXBABBITT）装回电路板。完成此步骤后，FLUXBABBITT硬件木马就连接到主板上了。FLUXBABBITT木马应该已经用GODSURGE应用程序代码及其载荷（木马安装程序）编程。木马植入后，GODSURGE的执行频率（释放有效负载）是可配置的，每次目标机器开机时就会执行。

搜索FLUXBABBITT相关信息，可以发现它是一个相当聪明的间谍器材。它利用的是英特尔处理器的“XDP”（extended Debug Port）端口--一个类似JTAG端口的调试接口。实际上，XDP端口不是一个标准的JTAG端口，它甚至没有特定的标准。通过XDP端口可以访问英特尔处理器的寄存器、查看和编辑内存的内容，发起总线读写操作。

根据GODSURGE的工作原理--通过FLUXBABBITT硬件，恶意利用英特尔处理器的XDP调试接口，因此理论上支持XDP的英特尔Core, Core 2 Duo, Nehalem, Sandy Bridge等架构处理器都可能成为GODSURGE的受害者。 DELL PowerEdge 1950和2950服务器只是受害者代表，惨遭曝光。