Тилли Котманн (Tillie Kottmann), разработчик для платформы Android из Швейцарии, ведущий Telegram-канал об утечках данных, опубликовал в открытом доступе 20 ГБ внутренней технической документации и исходных текстов, полученной в результате крупной утечки информации из компании Intel. Заявлено, что это первый набор из коллекции, переданной анонимным источником. Многие документы помечены как конфиденциальные, корпоративные секреты или распространяемые только по подписке о неразглашении.
Самые свежие документы датированы началом мая и включают информацию о новой серверной платформе Cedar Island (Whitley). Имеются также документы от 2019 года, например, описывающие платформу Tiger Lake, но большая часть информации датирована 2014 годом. Помимо документации в наборе также присутствует код, отладочные инструменты, схемы, драйверы, обучающие видео.
Некоторая информация из набора:
Аноним, передавший документы для публикации, указал, что данные были загружены из незащищённого сервера, размещённого в Akamai CDN, а не из Intel Resource and Design Center. Сервер был обнаружен случайно в ходе массового сканирования хостов с использованием nmap и был взломан через уязвимый сервис.
Некоторые издания упомянули возможное обнаружение бэкдоров в коде Intel, но данные заявления беспочвенны и основаны лишь на присутствии фразы "Save the RAS backdoor request pointer to IOH SR 17" в комментарии в одном из файлов с кодом. В контексте ACPI RAS обозначает "Reliability, Availability, Serviceability". Сам код выполняет обработку определения и коррекции ошибок памяти с сохранением результата в 17 регистр I/O hub, а не содержит "бэкдор" в понимании информационной безопасности.
Набор уже разошёлся по BitTorrent-сетям и доступен через магнитную ссылку. Размер zip-архива около 17 ГБ (пароли для разблокировки "Intel123" и "intel123").
Дополнительно можно отметить, что в конце июля Тилли Котманн опубликовал в публичном доступе содержимое репозиториев, полученных в результате утечек данных из около 50 компаний. В списке присутствуют такие компании, как Microsoft, Adobe, Johnson Controls, GE, AMD, Lenovo, Motorola, Qualcomm, Mediatek, Disney, Daimler, Roblox и Nintendo, а также различные банки, финансовые, автомобильные и туристические компании. Основным источником утечки стала некорректная настройка DevOps-инфраструктуры и оставление ключей доступа в публичных репозиториях. Большинство репозиториев было скопировано из локальных DevOps-систем на базе платформ SonarQube, GitLab и Jenkins, доступ к которым не был ограничен должным образом (в доступных через Web локальных экземплярах DevOps-платформ использовались настройки по умолчанию, подразумевающие возможность публичного доступа к проектам).
Кроме того, в начале июля в результате компрометации сервиса Waydev, используемого для формирования аналитических отчётов об активности в Git-репозиториях, произошла утечка базы данных, в том числе включавшей OAuth-токены для доступа к репозиториям на GitHub и GitLab. Подобные токены могли использоваться для клонирования приватных репозиториев клиентов Waydev. Захваченные токены впоследствии были использованы для компрометации инфраструктур dave.com и flood.io.
OpenNet
Самые свежие документы датированы началом мая и включают информацию о новой серверной платформе Cedar Island (Whitley). Имеются также документы от 2019 года, например, описывающие платформу Tiger Lake, но большая часть информации датирована 2014 годом. Помимо документации в наборе также присутствует код, отладочные инструменты, схемы, драйверы, обучающие видео.
Некоторая информация из набора:
- Руководства по Intel ME (Management Engine), утилиты для работы с flash и примеры для разных платформ.
- Эталонная реализация BIOS для платформы Kabylake (Purley), примеры и код для инициализации (с историей изменений из git).
- Исходные тексты Intel CEFDK (Consumer Electronics Firmware Development Kit).
- Код FSP-пакетов (Firmware Support Package) и производственных схем различных платформ.
- Различные утилиты для отладки и разработки.
- Simics-симулятор платформы Rocket Lake S.
- Различные планы и документы.
- Бинарные драйверы для камеры Intel, изготовленной для SpaceX.
- Схемы, документы, прошивки и инструменты для ещё не выпущенной платформы Tiger Lake.
- Обучающие видео по Kabylake FDK.
- Intel Trace Hub и файлы с декодировщиками для разных версий Intel ME.
- Эталонная реализация платформы Elkhart Lake и примеры кода для поддержки платформы.
- Описания аппаратных блоков на языке Verilog для разных платформ Xeon.
- Отладочные сборки BIOS/TXE для разных платформ.
- Bootguard SDK.
- Симулятор процессов для Intel Snowridge и Snowfish.
- Различные схемы.
- Шаблоны маркетинговых материалов.
Аноним, передавший документы для публикации, указал, что данные были загружены из незащищённого сервера, размещённого в Akamai CDN, а не из Intel Resource and Design Center. Сервер был обнаружен случайно в ходе массового сканирования хостов с использованием nmap и был взломан через уязвимый сервис.
Некоторые издания упомянули возможное обнаружение бэкдоров в коде Intel, но данные заявления беспочвенны и основаны лишь на присутствии фразы "Save the RAS backdoor request pointer to IOH SR 17" в комментарии в одном из файлов с кодом. В контексте ACPI RAS обозначает "Reliability, Availability, Serviceability". Сам код выполняет обработку определения и коррекции ошибок памяти с сохранением результата в 17 регистр I/O hub, а не содержит "бэкдор" в понимании информационной безопасности.
Набор уже разошёлся по BitTorrent-сетям и доступен через магнитную ссылку. Размер zip-архива около 17 ГБ (пароли для разблокировки "Intel123" и "intel123").
Дополнительно можно отметить, что в конце июля Тилли Котманн опубликовал в публичном доступе содержимое репозиториев, полученных в результате утечек данных из около 50 компаний. В списке присутствуют такие компании, как Microsoft, Adobe, Johnson Controls, GE, AMD, Lenovo, Motorola, Qualcomm, Mediatek, Disney, Daimler, Roblox и Nintendo, а также различные банки, финансовые, автомобильные и туристические компании. Основным источником утечки стала некорректная настройка DevOps-инфраструктуры и оставление ключей доступа в публичных репозиториях. Большинство репозиториев было скопировано из локальных DevOps-систем на базе платформ SonarQube, GitLab и Jenkins, доступ к которым не был ограничен должным образом (в доступных через Web локальных экземплярах DevOps-платформ использовались настройки по умолчанию, подразумевающие возможность публичного доступа к проектам).
Кроме того, в начале июля в результате компрометации сервиса Waydev, используемого для формирования аналитических отчётов об активности в Git-репозиториях, произошла утечка базы данных, в том числе включавшей OAuth-токены для доступа к репозиториям на GitHub и GitLab. Подобные токены могли использоваться для клонирования приватных репозиториев клиентов Waydev. Захваченные токены впоследствии были использованы для компрометации инфраструктур dave.com и flood.io.
OpenNet