2018年10月,彭博商业周刊首次报道了中国干预超微产品的行为。文章报道了2015年在服务器主板上发现的新增恶意芯片账户。而苹果公司亚马逊等美国科技超巨在他们购买的设备上都发现了恶意芯片。苹果和亚马逊公开回应称此事为子虚乌有。而美国政府官员也对这篇文章提出了异议。
【彭博社揭秘中国布局10年的黑客之战 自动向北京发情报?】在过去两年内,彭博社找到了50多位证人。他们来自执法部门,军方,情报机构,并且与彭博社分享了大量敏感文件。 https://t.co/E5IJAFMfxj pic.twitter.com/7wYSNPk0oz
— TimedNews.com (@TimednewsC) February 13, 2021
但是,彭博社没有放弃调查。在过去两年内,彭博社找到了50多位证人。他们来自执法部门,军方,情报机构,并且与彭博社分享了大量敏感文件。就此发现,2018年的这一则报道只是一系列更大事件的一小部分。事实上,美国官员已经开始监控并且试图管理中国对超微产品的反复操纵,并且同时,秘而不宣。针对超微的反情报调查,连超微自己都不知道此事。
超微公司是谁?为什么它这么重要?
美超微公司,是目前业内唯一一个可以提供高性能CPU、高性能独立显卡GPU、主板芯片组三大组件的半导体公司。市场地位居全球品牌服务器第三;亚马逊,苹果,美国五角大楼等科技巨头和美国政府机构都是它的客户。
在最新的报道当中,彭博社采访了美国联邦调查局前高级官员塔布。他表示,超微事件表明,全球供应链存在广泛的风险。他认为中国在生产超微产品的时候,的确进行了篡改和干预。
塔布自从2018年起一直担任FBI国家安全局执行局长,直到2020年1月退休。他说:“超微完美地说明了美国公司是多么容易受到他们选择在中国生产的任何产品的潜在恶意篡改。如果你没有监督你的设备是在哪里生产的,是怎么生产的;那超微就是一个最坏的例子。
此前,超微和中国官方对彭博社的报道专门作出回应。超微表示,美国联邦政府从来没有调查过它。并且攻击彭博社汇集了“一堆不同和不准确的指控”,得出了“牵强的结论”。中国外交部发言人称,有关黑客报道“企图诋毁中国和中国企业”,并指责美国官员“捏造事实,炒作‘中国威胁’”
而美国方面的第一位证人,是前海军海豹突击队成员,同时也是风险投资家麦克詹克。他说,在2018年初,他建议的两家安全公司听取了美国联邦调查局反情报部门的简报。调查发现,超微的主板上被添加了恶意芯片。这两家公司随后参与了政府的调查,从公司拿来了主板进行硬件取证,以证实恶意芯片的存在。”
超微,台湾移民Charles Liang梁见后在1993年创立品牌。它利用了全球供应链,许多主板是由承包商在中国制造的,然后在美国和其他地方组装成服务器。该公司去年的营收为33亿美元,在云计算时代,从医疗成像扫描仪到网络安全设备,超微产品无处不在。
2019年5月,超微自己向投资者披露了不寻常的信息。超微表示,自己的计算机网络多年来遭到破坏。超微承认,在2011年至2018年间,他们的网络遭遇了未经授权的入侵。但是,这些入侵行为,无论是单独的还是整体的,都没有对我们的业务、运营或产品产生重大不利影响。”
而在超微遭到调查之前,联邦官员曾担心中国在全球电子制造业中的主导地位。另一个受到关注的五角大楼供应商,是中国的联想集团有限公司。2008年,美国调查人员发现,伊拉克的军事单位使用的联想笔记本电脑的硬件经过了改动。这一发现后来被证明是一次中国硬件黑客行为。
李奇法洛在2010年管理着伊拉克一个海军网络运营中心。他表示,美国军方当时购买了大量的联想笔记本电脑。这些笔记本电脑上,主板上有一个加密芯片,可以记录输入笔记本电脑的所有数据,并将其送回中国。这是一个巨大的安全漏洞。我们不知道他们得到了多少数据,但我们不得不将所有这些系统从网络上删除。”
当时,这一指控遭到了联想发言人夏洛特·韦斯特的驳斥。他当时表示说,美国从来没有通知过联想有关产品存在安全隐患。美国官员在审查联想2014年从IBM和谷歌收购业务时,“对联想的背景和可信度进行了广泛调查”。两次购买都获得批准。
这三位美国官员说,在2008年发现这一情况后,尽管美国没有告诉联想公司,但是已经悄悄地禁止在敏感项目上使用联想产品。不过联想并未从五角大楼批准的供应商名单中除名。
尽管美国在10年前就发现了中国的硬件儿黑客行动,但是并没有进行广泛的调查。直到大约在2010年初,五角大楼的一个安全小组注意到他们的非机密网络中的超微服务器出现异常行为。
六名前五角大楼高级官员描述,这些机器能够自行复制数据,并且自动发送回中国。五角大楼在几千台服务器上发现了这种植入;一位官员形容它简直 “无处不在。”调查人员认为,恶意代码是中国情报机构所为,因为传输路径去向明确,所以没有任何含糊不清的地方。
被传输的内容的军事行动细节并不多,但是也包括一些非常有价值的东西。例如,他们拿到了国防部非机密网络部分地图的数据。分析人士还担心,这些植入物可能是一种数字武器,可以在冲突期间强行关闭这些系统。
美国决定对这个代码进行反向利用。时任国家安全局局长的亚历山大命令五角大楼设计了无法探测的反向措施,通过这一条传输网络,在不惊动中国的情况下,反向收集有关中国的情报。五角大楼官方和白宫均拒绝置评。
在调查五角大楼的数据中心时,政府官员采取了谨慎的措施。和联想事件一样,他们开始避免在敏感服务器上使用超微产品。但是超微依然在批准供应商的公开名单上。
被命令不能在敏感领域使用超微产品的包括美国宇航局,nasa。是NASA太空飞行中心的首席信息官,加德纳表示,他在2013年离开NASA之前,曾经命令彻查计算机系统的当中,那些部分含有超微产品。
当军事专家调查五角大楼的漏洞时,他们发现,恶意指令隐藏在机器的基本输入输出系统BIOS中,BIOS是为计算机题提供最底层的,最直接的设置和控制。
这种操作结合了两段代码:第一段代码嵌入在管理启动顺序的指令中,不能轻易删除或更新。这些代码获取了额外的指令,藏在BIOS芯片没有使用的内存中。这种做法极其隐蔽,就算是=有安全意识的客户也不太可能找到这些指令。当服务器打开时,植入物会加载到机器的主内存中,在那里它会定期发送数据。总的来说,就是中国情报机构渗透了Supermicro的BIOS工程。
据5名前美国官员透露,到2012年,FBI已经展开反情报调查,旧金山外地办事处的特工使用FISA的搜查令监控与超微有关的几名人员的通讯。后来发现证据,该公司曾被有意或无意被中国渗透。被渗透的人是技术官员,而不是公司高管。
到2014年,美国政府的调查人员找到了另外一个操纵证据,那就是添加到超微型主板上的恶意芯片。
据7名前美国官员介绍,2014年至2017年间,政府专家将使用这些设备视为中国硬件黑客攻击能力的重大进步。官员们说,这些芯片只需要向机器中注入了少量代码,为攻击者打开了后门。
官员们对这些设备的先进性感到十分震惊,来自10家公司和一家大型市政公用事业公司的高管告诉彭博新闻社,他们政府的提醒。
穆库尔·库马尔在2015年担任芯片公司Altera Corp.首席安全官。他在一次非机密简报会上收到了这样的警告。他说,他们购买的超微产品中,有本不该存在的芯片,它不是超微做的;而是中国做的。Altera 在2015年12月被英特尔收购。他没有再使用过任何超微产品。
目前仍不清楚有多少公司受到了新增芯片攻击的影响。彭博社2018年的报道援引一位官员的话称,这一数字接近30个。
曾在思科系统公司和微软担任高级职务的网络安全高管的奎恩说,美国空军官员向他简要介绍了超微主办多出来芯片的情况。当时,他们公司是空军合同的潜在投标人,官员们希望确保任何服务器都不包括超微型设备。
奎因说,多加出来的芯片并不是简单拿过来按上那么简单。它完全是设计在设备上的。芯片“被混合到多层板上的痕迹中”。攻击者知道该电路板是如何设计的,这样它就能通过质量保证测试。”
有关多加了了芯片的警报并不局限于私营部门。四家美国机构的前首席信息官对彭博社表示,他们参加了国防部2015年至2017年间就超微型主板上增加芯片所作的简报会。联邦调查局就在2018年检查了被操纵的超微型主板样本。
除此之外,中国黑客还以另外一种形式,利用了超微产品。2014年,英特尔的高管们追踪到,他们的网络出现了一个安全漏洞,原因是从超微的网站上下载的一个看似正常的固件更新。但是这个固件更新就存在问题。
英特尔安全高管在2015年提交给科技行业同行聚会的幻灯片显示,他们断定是一个中国精英黑客组织发动了这起攻击。英特尔发言人说,这起事件被提前抓获,没有造成数据丢失。
这种攻击方式类似于在去年下年,闹到满城风雨的SolarWinds黑客攻击事件。当时,据称俄罗斯人通过软件更新将目标锁定在政府机构和私营公司。但这两起案件有一个关键的区别:那就是在英特尔的案例中,恶意软件最初只出现在该公司数千台服务器中的一台,几个月后又出现在另一台服务器中。英特尔的调查人员得出结论,攻击者可以针对特定的机器,使检测的可能性大大降低。相比之下, SolarWinds遭受到的攻击是群体攻击。
如今,由于SolarWinds黑客攻击案仍在调查中,有关技术供应链的国家安全担忧已经爆发到美国政坛。美国官员呼吁加强供应链监管,并劝说制造商确保他们的代码和硬件安全。
弗兰克·菲格利乌兹曾在2012年前担任美国FBI负责反情报的助理局长,他说:“超微公司的悲惨故事给业界敲响了一个令人毛骨悚然的警钟。他说:“如果你认为这个故事只涉及一家公司,那你就错了。“对于科技行业供应链中的任何人来说,这都是一个‘不要让这种事发生在你身上’的时刻。”
0
0