t1195-003-compromise-hardware-supply-chain

# T1195.003 - Compromise Hardware Supply Chain ## Descrição O comprometimento da cadeia de suprimentos de hardware representa uma das ameaças mais avançadas e difíceis de detectar no espectro de técnicas de acesso inicial. Adversários manipulam componentes físicos - placas-mãe, firmware de BIOS/UEFI, chips de gerenciamento remoto (BMC, iDRAC, iLO), unidades de armazenamento, roteadores, switches e até periféricos como teclados e cabos USB - antes que o equipamento chegue ao consumidor final. Um backdoor inserido em hardware opera abaixo do nível do sistema operacional, tornando-se práticamente invisível para soluções de segurança convencionais como EDR e antivírus. A subtécnica [[t1195-003-compromise-hardware-supply-chain|T1195.003]] é filha de [[t1195-supply-chain-compromise|T1195]], diferenciando-se das demais pela permanência quase absoluta do comprometimento: enquanto malware de software pode ser removido com formatação e reinstalação do SO, um implante em firmware ou hardware frequentemente sobrevive a qualquer processo de remediação convencional. Casos documentados incluem a implantação de chips espiões em placas-mãe de servidores durante a fabricação, modificação de firmware de discos rígidos por grupos como o Equation Group (associado à NSA), e interceptação física de hardware em trânsito (técnica conhecida como "interdição" ou "supply chain interdiction"). O Equation Group, por exemplo, desenvolveu implantes de firmware para HDDs de fabricantes como Seagaté, Western Digital e Toshiba, criando partições ocultas que persistiam após formatação total. O vetor de comprometimento pode ocorrer em múltiplos pontos da cadeia: na fábrica do fabricante original, durante a logística de distribuição, em revendedores ou integradores, ou durante processos de reparo e manutenção. Quanto mais cedo na cadeia ocorre o comprometimento, maior o alcance potencial - um firmware malicioso inserido na linha de produção pode afetar centenas de milhares de unidades distribuídas globalmente. **Contexto Brasil/LATAM:** O Brasil importa a vasta maioria de seus equipamentos de TI - servidores, roteadores, switches, firewalls e dispositivos de armazenamento - de fabricantes asiáticos e norte-americanos. A complexidade logística dessas cadeias de suprimentos, aliada à falta de capacidade nacional para auditoria profunda de firmware em equipamentos críticos, cria risco estrutural. Órgãos governamentais brasileiros, [[energy|setor de energia]], [[financial|setor financeiro]] e operadoras de telecomúnicações que dependem de equipamentos de fornecedores com histórico de comprometimento estado-patrocinado (notadamente da China e Rússia) devem tratar esta técnica como ameaça persistente. O [[sources|cert-br]] e a ANATEL monitoram riscos associados a fornecedores de infraestrutura crítica de telecomúnicações no país. --- *Fonte: [MITRE ATT&CK - T1195.003](https://attack.mitre.org/techniques/T1195/003)* ## Attack Flow ```mermaid graph TB A[Acesso à Cadeia de Fabricação]:::attack --> B[Implante em Firmware / Hardware]:::technique B --> C[Distribuição do Equipamento]:::attack C --> D[Instalação na Infraestrutura Alvo]:::victim D --> E[Backdoor Persistente Abaixo do SO]:::impact classDef attack fill:#c0392b,color:#fff,stroke:#922b21 classDef technique fill:#e74c3c,color:#fff,stroke:#c0392b classDef victim fill:#7f8c8d,color:#fff,stroke:#626567 classDef impact fill:#2c3e50,color:#fff,stroke:#1a252f ``` ## Como Funciona **1. Preparação - Comprometimento do Ponto de Inserção** O adversário identifica o ponto mais vantajoso na cadeia de suprimentos para introduzir o implante: a fábrica do fabricante original (OEM), um contratante de montagem, o armazém de um distribuidor regional, ou o processo de reparo pós-venda. Em operações de inteligência de Estado, a interceptação física durante o transporte ("interdição postal") é uma técnica documentada para modificar equipamentos antes da entrega ao alvo. O adversário pode subornar funcionários internos, explorar vulnerabilidades em sistemas de gerenciamento da cadeia de suprimentos, ou simplesmente ter acesso físico legítimo como parte da operação. **2. Execução - Implantação do Backdoor** O implante é integrado ao hardware ou firmware de forma a ser funcional mas difícil de detectar. Técnicas incluem: modificação do firmware de BIOS/UEFI para adicionar um módulo malicioso que persiste após reinstalações do SO; soldagem de microchips em trilhas de comunicação da placa-mãe para interceptar ou modificar dados; atualização de firmware de controladores (BMC, NIC, SSD) com versões trojanizadas; e modificação de chips de segurança (TPM, secure element) para enfraquecer garantias criptográficas. O implante geralmente inclui capacidade de comunicação com infraestrutura C2, exfiltração discreta de dados, e em alguns casos a capacidade de destruir o equipamento remotamente (wiper de firmware). **3. Pós-execução - Operação Silenciosa e Longa Duração** Uma vez no ambiente-alvo, o implante opera com privilégios máximos - abaixo do kernel do sistema operacional - e é invisível para ferramentas de detecção tradicionais. Ele pode monitorar tráfego de rede, capturar credenciais, exfiltrar dados sensíveis, ou simplesmente manter acesso persistente para uso futuro. Remoção exige identificação do dispositivo comprometido, substituição física do hardware e, em alguns casos, reflash do firmware com versão verificada - processo complexo e custoso que muitas organizações não têm capacidade de executar. Em infraestruturas críticas, o implante pode ser usado para sabotar equipamentos no momento politicamente oportuno. ## Detecção **Controles e fontes de detecção:** | Fonte | Método | Indicador | |-------|--------|-----------| | Verificação de integridade de boot | TPM + Secure Boot + attestation remota | Hash de firmware diferente do esperado pelo fabricante | | Monitoramento de tráfego de rede | IDS/IPS + DPI + análise de NetFlow | Comúnicações de saída de dispositivos de infraestrutura para IPs/domínios não esperados | | Logs de BMC/IPMI | Auditoria de acesso ao controlador de gerenciamento | Acesso fora do horário esperado, mudanças de configuração inexplicadas | | Análise de firmware | Ferramentas como Binwalk, UEFI Tool, UEFIExtract | Módulos não documentados, código executável em partições inesperadas | | Monitoramento de integridade de host | Soluções de FIM (File Integrity Monitoring) no nível de firmware | Alterações em módulos UEFI entre boots | **Sigma Rule - Detecção de Comúnicação Anômala de Dispositivo de Infraestrutura:** ```yaml title: Anomalous Outbound Commúnication from Infrastructure Device id: c9d3e5a7-2f1b-4c8e-a0d4-6b9f2e1c8a3b status: experimental description: > Detecta conexões de saída originadas de endereços IP de dispositivos de infraestrutura (servidores, BMCs, switches) para destinos externos não esperados, possível indicador de hardware supply chain compromise (T1195.003). author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1195/003/ logsource: category: network_connection product: firewall detection: selection: src_ip|cidr: - '10.0.0.0/8' # Ajustar para o range de IPs de infra da organização dst_ip|cidr: - '0.0.0.0/0' filter_known_destinations: dst_ip|cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.0.0/16' dst_port: - 53 - 123 - 443 - 80 filter_management_networks: src_ip|cidr: - '10.0.100.0/24' # Ajustar: range de IPs de management da organização condition: selection and not (filter_known_destinations or filter_management_networks) falsepositives: - Dispositivos de infra com acesso legítimo à internet para atualizações de firmware - Sistemas de monitoramento com conectividade externa autorizada level: high tags: - attack.initial_access - attack.t1195.003 ``` ## Mitigação | Controle | Descrição | Prioridade para Orgs Brasileiras | |----------|-----------|----------------------------------| | **Secure Boot e verificação de integridade de firmware** | [[m1046-boot-integrity\|M1046 - Boot Integrity]] - habilitar Secure Boot em todos os servidores e workstations; usar TPM para attestation de integridade do firmware antes de permitir boot | Alta - controle fundamental que muitas organizações não habilitam por padrão | | **Auditoria de fornecedores e cadeia de suprimentos** | Exigir Software/Hardware Bill of Materials (SBOM/HBOM) de fornecedores críticos; dar preferência a fornecedores com programas de segurança documentados e auditorias de terceiros | Alta - especialmente para equipamentos de telecomúnicações e infraestrutura crítica | | **Inspeção física de hardware sensível** | Para equipamentos de altíssimo valor (servidores de dados críticos, HSMs), considerar inspeção física e análise de firmware antes da implantação | Média - operacionalmente complexo, reservar para ativos críticos | | **Segmentação de redes de gerenciamento** | Isolar redes de BMC/IPMI/iDRAC em VLANs sem acesso à internet; nunca expor interfaces de gerenciamento de hardware à rede corporativa geral | Alta - reduz capacidade de comunicação C2 de implantes de firmware | | **Inventário e monitoramento de firmware** | Manter inventário de versões de firmware de todos os dispositivos; assinar alertas de atualizações do fabricante; comparar checksums de firmware regularmente | Média - requer maturidade operacional, mas é altamente efetivo | | **Canais de aquisição confiáveis** | Adquirir hardware apenas de revendedores autorizados com cadeia de custódia documentada; evitar equipamentos de segunda mão ou de procedência incerta para ambientes críticos | Alta - especialmente relevante no contexto de aquisições governamentais brasileiras | ## Threat Actors Nenhum grupo de ameaça público com presença documentada em LATAM foi atribuído específicamente a operações de compromisso de hardware supply chain confirmadas públicamente. No entanto, a técnica é associada a capacidades de inteligência de Estado de nível avançado - notavelmente o Equation Group (NSA), agentes de inteligência chineses em contextos de espionagem de infraestrutura crítica, e grupos russos com foco em sabotagem industrial. A dificuldade de atribuição é inerente à técnica, que por natureza minimiza evidências. ## Software Associado Não há malware convencional associado a esta técnica - o "implante" é o próprio hardware ou firmware modificado. Ferramentas de análise forense como `Binwalk`, `UEFI Tool` e `chipsec` são usadas defensivamente para detectar modificações. O framework `CHIPSEC` da Intel é a ferramenta de referência para análise de integridade de firmware em ambientes corporativos. > **Técnica pai:** [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]]