Tilly Kottmann (), programer za Android platformu iz Švicarske, vodeći Telegram kanal o curenju podataka, 20 GB interne tehničke dokumentacije i izvornog koda dobijenog kao rezultat velikog curenja informacija iz Intela su javno dostupni. Navodi se da je ovo prvi set iz kolekcije koju je donirao anonimni izvor. Mnogi dokumenti su označeni kao povjerljivi, korporativne tajne ili se distribuiraju samo pod ugovorom o tajnosti.
Najnoviji dokumenti datirani su početkom maja i uključuju informacije o novoj serverskoj platformi Cedar Island (Whitley). Postoje i dokumenti iz 2019. godine, na primjer koji opisuju platformu Tiger Lake, ali većina informacija datira iz 2014. godine. Pored dokumentacije, set takođe sadrži kod, alate za otklanjanje grešaka, dijagrame, drajvere i video zapise za obuku.
Neki sa seta:
- Intel ME (Management Engine) priručnici, flash uslužni programi i primjeri za različite platforme.
- Referentna implementacija BIOS-a za Kabylake (Purley) platformu, primjeri i inicijalizacijski kod (sa historijom promjena iz git-a).
- Izvorni tekstovi Intel CEFDK (Consumer Electronics Firmware Development Kit).
- Šifra FSP paketa (Firmware Support Package) i proizvodne šeme različitih platformi.
- Različiti uslužni programi za otklanjanje grešaka i razvoj.
- -simulator platforme Rocket Lake S.
- Razni planovi i dokumenti.
- Binarni drajveri za Intel kameru napravljenu za SpaceX.
- Šeme, dokumenti, firmver i alati za još neobjavljenu platformu Tiger Lake.
- Kabylake FDK trening video zapisi.
- Intel Trace Hub i datoteke sa dekoderima za različite verzije Intel ME.
- Referentna implementacija platforme Elkhart Lake i primjeri koda za podršku platformi.
- Opisi hardverskih blokova na Verilog jeziku za različite Xeon platforme.
- Debug BIOS/TXE build za različite platforme.
- Bootguard SDK.
- Procesni simulator za Intel Snowridge i Snowfish.
- Razne šeme.
- Predlošci marketinških materijala.
Intel je saopštio da je otvorio istragu o incidentu. Prema preliminarnim informacijama, podaci su dobijeni putem informacionog sistema"“, koji sadrži informacije o ograničenom pristupu za klijente, partnere i druge kompanije sa kojima Intel komunicira. Najvjerovatnije je informaciju postavio i objavio neko ko ima pristup ovom informacionom sistemu. Jedan od bivših zaposlenih u Intelu dok je raspravljao o svojoj verziji na Redditu, ukazujući da bi curenje moglo biti rezultat sabotaže od strane zaposlenika ili hakovanja jednog od proizvođača matičnih ploča OEM-a.
Anonimna osoba koja je dostavila dokumente za objavljivanje da su podaci preuzeti sa nezaštićenog servera koji se nalazi na Akamai CDN-u, a ne iz Intelovog centra za resurse i dizajn. Server je otkriven slučajno tokom masovnog skeniranja hostova koristeći nmap i hakiran je preko ranjivog servisa.
Neke publikacije pominju moguće otkrivanje backdoor-a u Intelovom kodu, ali ove izjave su neosnovane i zasnovane su samo na
frazu “Sačuvaj pokazivač zahtjeva RAS backdoor u IOH SR 17” u komentaru u jednoj od datoteka koda. U kontekstu ACPI RAS "Pouzdanost, dostupnost, uslužnost". Sam kod obrađuje detekciju i ispravljanje memorijskih grešaka, pohranjujući rezultat u registar 17 I/O čvorišta, i ne sadrži „backdoor“ u smislu sigurnosti informacija.
Set je već distribuiran na BitTorrent mrežama i dostupan je putem . Veličina zip arhive je oko 17 GB (lozinke za otključavanje “Intel123” i “intel123”).
Dodatno, može se primijetiti da je krajem jula Tilly Kottmann u javnom domenu repozitorijuma dobijenim kao rezultat curenja podataka od oko 50 kompanija. Na listi se nalaze kompanije kao npr
Microsoft, Adobe, Johnson Controls, GE, AMD, Lenovo, Motorola, Qualcomm, Mediatek, Disney, Daimler, Roblox i Nintendo, kao i razne banke, finansijske usluge, automobilske i turističke kompanije.
Glavni izvor curenja je pogrešna konfiguracija DevOps infrastrukture i ostavljanje pristupnih ključeva u javnim spremištima.
Većina repozitorija je kopirana iz lokalnih DevOps sistema zasnovanih na platformama SonarQube, GitLab i Jenkins, kojima je pristup ispravno ograničen (u lokalnim instancama DevOps platformi dostupnim na webu podrazumevane postavke, što podrazumeva mogućnost javnog pristupa projektima).
Osim toga, početkom jula, kao rezultat Usluga Waydev, korištena za generiranje analitičkih izvještaja o aktivnostima u Git repozitorijumima, imala je curenje baze podataka, uključujući i onu koja je uključivala OAuth tokene za pristup spremištima na GitHub-u i GitLabu. Takvi se tokeni mogu koristiti za kloniranje privatnih spremišta Waydev klijenata. Uhvaćeni tokeni su kasnije korišteni za kompromitaciju infrastrukture и .
izvor: opennet.ru