Тіллі Котманн (), розробник для платформи Android зі Швейцарії, провідний Telegram-канал про витікання даних, у відкритому доступі 20 ГБ внутрішньої технічної документації та вихідних текстів, отриманої в результаті великого витоку інформації з компанії Intel. Заявлено, що це перший набір колекції, переданої анонімним джерелом. Багато документів позначені як конфіденційні, корпоративні секрети або розповсюджуються лише за підпискою про нерозголошення.
Найсвіжіші документи датовані початком травня та включають інформацію про нову серверну платформу Cedar Island (Whitley). Є також документи від 2019 року, наприклад, що описують платформу Tiger Lake, але більшість інформації датована 2014 роком. Крім документації в наборі також є код, налагоджувальні інструменти, схеми, драйвери, що навчають відео.
Деяка з набору:
- Посібники з Intel ME (Management Engine), утиліти для роботи з flash та приклади для різних платформ.
- Еталонна реалізація BIOS для платформи Kabylake (Purley), приклади та код для ініціалізації (з історією змін із git).
- Початкові тексти Intel CEFDK (Consumer Electronics Firmware Development Kit).
- Код FSP-пакетів (Firmware Support Package) та виробничих схем різних платформ.
- Різні утиліти для налагодження та розробки.
- -Симулятор платформи Rocket Lake S.
- Різні плани та документи.
- Бінарні драйвери для фотокамери Intel, виготовленої для SpaceX.
- Схеми, документи, прошивки та інструменти для ще не випущеної платформи Tiger Lake.
- Навчальні відео з Kabylake FDK.
- Intel Trace Hub та файли з декодувальниками для різних версій Intel ME.
- Еталонна реалізація платформи Elkhart Lake та приклади коду для підтримки платформи.
- Опис апаратних блоків на мові Verilog для різних платформ Xeon.
- Налагоджувальні складання BIOS/TXE для різних платформ.
- Bootguard SDK.
- Симулятор процесів для Intel Snowridge та Snowfish.
- Різні схеми.
- Шаблони рекламних матеріалів.
Компанія Intel заявила, що розпочала розгляд з приводу інциденту. За попередніми даними дані отримані через інформаційну систему.«, де в обмеженому доступі розміщується інформація клієнтам, партнерів та інших компаній, із якими взаємодіє Intel. Найімовірніше, що дані завантажив і опублікував хтось, хто має доступ до цієї інформаційної системи. Один із колишніх співробітників Intel при обговоренні на Reddit свою версію, вказавши, що можливий витік є наслідком саботажу співробітника або злому одного з виробників OEM материнських плат.
Анонім, який передав документи для публікації, , що дані були завантажені з незахищеного сервера, розміщеного в Akamai CDN, а не з Intel Resource and Design Center. Сервер був виявлений випадково в ході масового сканування хостів з використанням nmap і зламаний через вразливий сервіс.
Деякі видання згадали можливе виявлення бекдорів у коді Intel, але ці заяви безпідставні і засновані лише на
фрази "Save the RAS backdoor request pointer to IOH SR 17" у коментарі в одному з файлів з кодом. У контексті ACPI RAS "Reliability, Availability, Serviceability". Сам код виконує обробку визначення та корекції помилок пам'яті зі збереженням результату в 17 регістр I/O hub, а не містить бекдор в розумінні інформаційної безпеки.
Набір вже розійшовся по BitTorrent-мережах та доступний через . Розмір zip-архіву близько 17 ГБ (паролі для розблокування Intel123 і Intel123).
Додатково можна відзначити, що наприкінці липня Тіллі Котманн у публічному доступі репозиторіїв, отриманих в результаті витоків даних близько 50 компаній. У списку є такі компанії, як
Microsoft, Adobe, Johnson Controls, GE, AMD, Lenovo, Motorola, Qualcomm, Mediatek, Disney, Daimler, Roblox та Nintendo, а також різні банки, фінансові, автомобільні та туристичні компанії.
Основним джерелом витоку стало некоректне налаштування DevOps-інфраструктури та залишення ключів доступу в публічних репозиторіях.
Більшість репозиторіїв були скопійовані з локальних DevOps-систем на базі платформ SonarQube, GitLab та Jenkins, доступ до яких обмежений належним чином (у доступних через Web локальних екземплярах DevOps-платформ налаштування за умовчанням, які передбачають можливість публічного доступу до проектів).
Крім того, на початку липня в результаті сервісу Waydev, що використовується для формування аналітичних звітів про активність у Git-репозиторіях, стався витік бази даних, у тому числі включала OAuth-токени для доступу до репозиторій на GitHub і GitLab. Такі токени могли використовуватися для клонування приватних репозиторіїв клієнтів Waydev. Захоплені токени були використані для компрометації інфраструктур. и .
Джерело: opennet.ru