Cuộc tấn công của gián điệp Trung cộng đã tiếp cận gần 30 công ty Mỹ, bao gồm Amazon và Apple, bằng cách ảnh hưởng đến chuỗi cung ứng công nghệ của Mỹ, theo các cuộc phỏng vấn sâu rộng với các nguồn của chính phủ và doanh nghiệp.
Trong năm 2015, Amazon.com đã bắt đầu lặng lẽ đánh giá một startup được gọi là Elemental Technologies, một sự mua lại tiềm năng để giúp mở rộng dịch vụ video streaming của nó, được biết đến ngày nay là Amazon Prime Video. Có trụ sở tại Portland, Ore., Phần mềm tạo thành phần mềm để nén các tệp video lớn và định dạng chúng cho các thiết bị khác nhau. Công nghệ của nó đã giúp truyền trực tuyến Thế vận hội Olympic, giao tiếp với Trạm vũ trụ quốc tế, và đưa các cảnh bay không người lái đến Cơ quan Tình báo Trung ương. Hợp đồng an ninh quốc gia của Elemental không phải là lý do chính cho việc mua lại đề xuất, nhưng chúng phù hợp với các doanh nghiệp chính phủ của Amazon, chẳng hạn như đám mây bảo mật cao mà Amazon Web Services (AWS) đang xây dựng cho CIA.
Để giúp thẩm định, AWS, giám sát việc mua lại tiềm năng, đã thuê một công ty bên thứ ba để xem xét an ninh của Elemental, theo một người quen thuộc với quy trình này. Vượt qua những vấn đề gây rắc rối đầu tiên, thúc đẩy AWS xem xét kỹ hơn sản phẩm chính của Elemental: các máy chủ đắt tiền mà khách hàng đã cài đặt trong mạng của họ để xử lý việc nén video.
Những máy chủ này được lắp ráp cho Elemental bởi Super Micro Computer Inc., một công ty có trụ sở tại San Jose (thường được gọi là Supermicro), một trong những nhà cung cấp bo mạch chủ máy chủ lớn nhất thế giới, các cụm chip và tụ điện được gắn sợi thủy tinh hoạt động như nơron của các trung tâm dữ liệu lớn và nhỏ. Vào cuối mùa xuân năm 2015, nhân viên của Elemental đã đóng một số máy chủ và gửi chúng đến Ontario, Canada, để công ty bảo mật của bên thứ ba kiểm tra, người đó nói.
Nổi bật trong Bloomberg Businessweek, ngày 8 tháng 10 năm 2018.
Lồng ghép trên bo mạch chủ của máy chủ, những người thử nghiệm đã tìm thấy một vi mạch nhỏ, không lớn hơn nhiều so với một hạt gạo, đó không phải là một phần của thiết kế ban đầu của bảng. Amazon báo cáo sự khám phá với chính quyền Hoa Kỳ, gửi một sự rùng mình qua cộng đồng tình báo. Các máy chủ của Elemental có thể được tìm thấy tại các trung tâm dữ liệu của Bộ Quốc phòng, các hoạt động bay không người lái của CIA và các mạng lưới tàu chiến trên tàu của Hải quân. Và Elemental chỉ là một trong hàng trăm khách hàng của Supermicro.
Trong cuộc thăm dò bí mật tiếp theo, mà vẫn còn trong vòng điêu tra hơn ba năm sau đó, các nhà điều tra xác định rằng các chip cho phép kẻ tấn công tạo ra một cánh cửa vô hình vào bất kỳ mạng nào bao gồm các máy bị thay đổi. Nhiều người quen thuộc với vấn đề này nói các nhà điều tra phát hiện ra rằng các con chip đã được đưa vào các nhà máy do các nhà thầu phụ sản xuất tại Trung cộng điều hành.
Cuộc tấn công này là thứ gì đó nghiêm trọng hơn những xẩy ra dựa trên phần mềm mà thế giới đã quen với việc nhìn thấy. Hacks phần cứng khó khăn hơn để kéo và có khả năng tàn phá hơn, hứa hẹn loại truy cập dài hạn, tàng hình mà các cơ quan gián điệp sẵn sàng đầu tư hàng triệu đô la và nhiều năm để có được.
"Có một bề mặt cấy ghép phần cứng cấp quốc gia được thực hiện tốt sẽ giống như chứng kiến một con kỳ lân nhảy qua cầu vồng"
Có hai cách để gián điệp thay đổi sự thay đổi của thiết bị máy tính. Một, được gọi là sự can thiệp, bao gồm thao tác các thiết bị khi chúng đang được chuyển từ nhà sản xuất đến khách hàng. Cách tiếp cận này được các cơ quan gián điệp Hoa Kỳ ưa chuộng, theo các tài liệu bị rò rỉ bởi cựu nhà thầu Cơ quan An ninh Quốc gia Edward Snowden. Phương pháp khác liên quan đến việc thay đổi hoạt động của máy ngay từ đầu.
Một quốc gia cụ thể có lợi thế thực hiện loại tấn công này: Trung cộng, theo một số ước tính, 75% số điện thoại di động của thế giới và 90% máy tính cá nhân của thế giới. Tuy nhiên, để thực sự thực hiện một cuộc tấn công "hạt giống" có nghĩa là phát triển một sự hiểu biết sâu sắc về thiết kế của sản phẩm, thao tác các thành phần tại nhà máy và bảo đảm rằng các thiết bị được xử lý đã vượt qua chuỗi logistics toàn cầu đến vị trí mong muốn. ở thượng nguồn sông Yangtze từ Thượng Hải và đảm bảo rằng nó đã đổ vào bờ ở Seattle. "Có một bề mặt cấy ghép phần cứng cấp quốc gia được thực hiện tốt sẽ giống như chứng kiến một con kỳ lân nhảy qua cầu vồng", Joe Grand, một hacker phần cứng và là người sáng lập của Grand Idea Studio Inc., nói. radar, nó gần như được coi là ma thuật đen. ”
Nhưng đó chỉ là những gì các nhà điều tra Mỹ tìm thấy: Các con chip đã được đưa vào trong quá trình sản xuất, hai quan chức cho biết, bởi các tác nhân từ một đơn vị Quân đội Giải phóng Nhân dân. Trong Supermicro, gián điệp của Trung cộng dường như đã tìm thấy một lỗ hổng dẫn hoàn hảo cho những gì các quan chức Mỹ hiện nay mô tả là cuộc tấn công chuỗi cung ứng quan trọng nhất được biết là đã được thực hiện chống lại các công ty Mỹ.
Một quan chức nói rằng các nhà điều tra phát hiện ra rằng nó cuối cùng đã ảnh hưởng đến gần 30 công ty, bao gồm một ngân hàng lớn, các nhà thầu chính phủ, và công ty có giá trị nhất thế giới. Apple là một khách hàng quan trọng của Supermicro và đã lên kế hoạch đặt hàng hơn 30.000 máy chủ. năm cho một mạng lưới trung tâm dữ liệu toàn cầu mới. Ba người trong cuộc cấp cao tại Apple nói rằng vào mùa hè năm 2015, nó cũng tìm thấy những con chip độc hại trên bo mạch chủ Supermicro. Apple đã cắt đứt quan hệ với Supermicro vào năm sau, vì những gì nó mô tả là những lý do không liên quan.
Trong các báo cáo được gửi qua email, Amazon (công bố việc mua lại Elemental vào tháng 9 năm 2015), Apple và Supermicro đã phản đối bản tóm tắt báo cáo của Bloomberg Businessweek. "Thật không đúng khi AWS biết về một chuỗi cung ứng thỏa hiệp, một vấn đề với chip độc hại, hoặc sửa đổi phần cứng khi mua Elemental," Amazon đã viết. “Về điều này, chúng ta có thể rất rõ ràng: Apple chưa bao giờ tìm thấy những con chip độc hại, 'các thao tác phần cứng' hoặc các lỗ hổng cố ý được trồng trong bất kỳ máy chủ nào,” Apple viết. "Chúng tôi vẫn không biết về bất kỳ điều tra như vậy," đã viết một phát ngôn viên cho Supermicro, Perry Hayes. Chính phủ Trung cộng đã không trực tiếp giải quyết các câu hỏi về thao tác máy chủ Supermicro, đưa ra một tuyên bố đọc, một phần, "An toàn chuỗi cung ứng trong không gian mạng là một vấn đề đáng lo ngại, và Trung cộng cũng là nạn nhân." của Giám đốc tình báo quốc gia, đại diện cho CIA và NSA, từ chối bình luận.
Sự từ chối của các công ty đã bị phản đối bởi 6 quan chức an ninh quốc gia cấp cao và hiện tại, những người trong các cuộc hội thoại bắt đầu trong chính quyền Obama và tiếp tục dưới quyền quản trị của Trump - đã khám phá chi tiết về những con chip và cuộc điều tra của chính phủ. Một trong những quan chức đó và hai người bên trong AWS đã cung cấp thông tin sâu rộng về cách tấn công diễn ra tại Elemental và Amazon; chính thức và một trong những người trong cuộc cũng mô tả sự hợp tác của Amazon với cuộc điều tra của chính phủ. Ngoài ba người trong cuộc của Apple, bốn trong số sáu quan chức Hoa Kỳ đã xác nhận rằng Apple là nạn nhân. Trong tất cả, 17 người đã xác nhận việc thao túng phần cứng của Supermicro và các yếu tố khác của cuộc tấn công. Các nguồn đã được cấp phép ẩn danh vì nhạy cảm, và trong một số trường hợp được phân loại, bản chất của thông tin.
Một quan chức chính phủ cho biết mục tiêu của Trung cộng là tiếp cận lâu dài với các bí mật công ty có giá trị cao và các mạng lưới chính phủ nhạy cảm. Không có dữ liệu người tiêu dùng nào được biết là đã bị đánh cắp.
Các nhánh của cuộc tấn công tiếp tục diễn ra. Chính quyền Trump đã chế tạo phần cứng máy tính và mạng, bao gồm cả bo mạch chủ, trọng tâm của các biện pháp trừng phạt thương mại mới nhất đối với Trung cộng, và các quan chức Nhà Trắng đã nói rõ rằng họ nghĩ rằng các công ty sẽ bắt đầu chuyển chuỗi cung ứng của họ sang các nước khác. Sự thay đổi này có thể giúp các quan chức đã cảnh báo nhiều năm về sự an toàn của chuỗi cung ứng - mặc dù họ chưa bao giờ tiết lộ lý do chính cho mối quan tâm của họ.
Cách thức hoạt động của Hack, Theo các quan chức Hoa Kỳ
① Một đơn vị quân đội Trung cộng thiết kế và sản xuất vi mạch nhỏ như một đầu bút chì sắc nhọn. Một số chip được xây dựng để trông giống như bộ điều hợp tín hiệu điều hòa, và chúng kết hợp bộ nhớ, khả năng kết nối mạng và đủ sức mạnh xử lý cho một cuộc tấn công.
② Các vi mạch được đưa vào các nhà máy Trung cộng cung cấp Supermicro, một trong những người bán bo mạch chủ máy chủ lớn nhất thế giới.
③ Các xâm phạm bo mạch chủ được xây dựng thành các máy chủ được lắp ráp bởi Supermicro.
④ Các máy chủ bị phá hoại thực hiện theo cách của họ bên trong các trung tâm dữ liệu được điều hành bởi hàng chục công ty.
⑤ Khi máy chủ được cài đặt và bật, vi mạch đã thay đổi “cốt lõi” của hệ điều hành để có thể chấp nhận các sửa đổi. Chip này cũng có thể liên hệ với các máy tính được kiểm soát bởi những kẻ tấn công để tìm kiếm thêm hướng dẫn và mã.
Trở lại năm 2006, ba kỹ sư ở Oregon đã có một ý tưởng thông minh. Nhu cầu về video trên thiết bị di động sắp bùng nổ và họ dự đoán rằng các đài truyền hình sẽ tuyệt vọng chuyển đổi các chương trình được thiết kế để vừa màn hình TV thành các định dạng khác nhau cần thiết để xem trên điện thoại thông minh, máy tính xách tay và các thiết bị khác. Để đáp ứng nhu cầu dự đoán, các kỹ sư bắt đầu Elemental Technologies, lắp ráp những gì một cựu cố vấn cho công ty gọi là một nhóm thiên tài để viết mã có thể thích nghi với các chip đồ họa siêu nhanh được sản xuất cho các máy chơi game cao cấp. Phần mềm kết quả giảm đáng kể thời gian cần thiết để xử lý các tệp video lớn. Sau đó, Elemental đã tải phần mềm lên các máy chủ được xây dựng tùy chỉnh được trang trí bằng các biểu tượng màu xanh lá cây.
Các máy chủ nguyên tố được bán với giá 100.000 USD mỗi máy, với mức lợi nhuận cao tới 70%, theo một cố vấn cũ của công ty. Hai trong số những khách hàng đầu tiên của Elemental là nhà thờ Mormon, sử dụng công nghệ này để chiếu các bài giảng đến các hội thánh trên khắp thế giới, và ngành công nghiệp điện ảnh dành cho người lớn, vốn không có.
Elemental cũng bắt đầu làm việc với các cơ quan gián điệp của Mỹ. Năm 2009, công ty đã công bố hợp tác phát triển với In-Q-Tel Inc., nhánh đầu tư của CIA, một thỏa thuận đã mở đường cho các máy chủ Elemental được sử dụng trong các cơ quan an ninh quốc gia trên khắp chính phủ Hoa Kỳ. Các tài liệu công cộng, bao gồm cả các tài liệu quảng cáo của chính công ty, cho thấy các máy chủ đã được sử dụng bên trong các trung tâm dữ liệu của Bộ Quốc phòng để xử lý cảnh quay không người lái và camera giám sát, trên các tàu chiến của Hải quân để truyền tải các nhiệm vụ trên không, và bên trong các tòa nhà chính phủ để cho phép hội nghị truyền hình an toàn. NASA, cả hai nhà Quốc hội, và Bộ An ninh Nội địa cũng là khách hàng. Danh mục đầu tư này đã khiến Elemental trở thành mục tiêu cho các đối thủ nước ngoài.
Supermicro đã là một lựa chọn hiển nhiên để xây dựng các máy chủ của Elemental. Có trụ sở chính ở phía bắc sân bay San Jose, một đoạn đường dài của Interstate 880, công ty được thành lập bởi Charles Liang, một kỹ sư người Đài Loan đã theo học trường sau đại học ở Texas và sau đó chuyển đến miền Tây để bắt đầu Supermicro với vợ vào năm 1993. Gia công phần mềm, giả mạo một con đường từ Đài Loan, và sau này là Trung cộng, các nhà máy cho người tiêu dùng Mỹ, và Liang thêm một lợi thế thoải mái: Các bo mạch chủ của Supermicro sẽ được thiết kế chủ yếu ở San Jose, gần các khách hàng lớn nhất của công ty, ngay cả khi sản phẩm được sản xuất ở nước ngoài.
Ngày nay, Supermicro bán nhiều bo mạch chủ máy chủ hơn hầu hết mọi người. Nó cũng thống trị thị trường trị giá 1 tỷ USD cho các bảng được sử dụng trong các máy tính có mục đích đặc biệt, từ các máy MRI đến các hệ thống vũ khí. Bo mạch chủ của nó có thể được tìm thấy trong các thiết lập máy chủ đặt hàng tại các ngân hàng, các quỹ phòng hộ, các nhà cung cấp điện toán đám mây và các dịch vụ lưu trữ web, trong số những nơi khác. Supermicro có các cơ sở lắp ráp ở California, Hà Lan và Đài Loan, nhưng các bo mạch chủ - sản phẩm cốt lõi của nó — gần như được sản xuất bởi các nhà thầu ở Trung cộng.
Quảng cáo chiêu hàng của công ty đối với khách hàng xoay quanh việc tùy chỉnh chưa từng có, được thực hiện bởi hàng trăm kỹ sư toàn thời gian và một danh mục bao gồm hơn 600 thiết kế. Phần lớn lực lượng lao động ở San Jose là tiếng Đài Loan hoặc tiếng Trung cộng, và tiếng Quan Thoại là ngôn ngữ ưa thích, với hanzi lấp đầy bảng trắng, theo sáu nhân viên cũ. Bánh ngọt Trung cộng được giao hàng tuần và nhiều cuộc gọi thông thường được thực hiện hai lần, một lần cho người lao động chỉ có tiếng Anh và một lần nữa bằng tiếng Quan Thoại. Sau này có hiệu quả hơn, theo những người đã từng ở cả hai. Những mối quan hệ hải ngoại này, đặc biệt là việc sử dụng tiếng Quan Thoại phổ biến, sẽ giúp Trung cộng dễ dàng hơn trong việc tìm hiểu về các hoạt động của Supermicro và có khả năng thâm nhập vào công ty. (Một quan chức Mỹ cho biết thăm dò của chính phủ vẫn đang kiểm tra liệu các gián điệp đã được trồng bên trong Supermicro hay các công ty Mỹ khác để hỗ trợ cho cuộc tấn công.)
Với hơn 900 khách hàng ở 100 quốc gia vào năm 2015, Supermicro cung cấp sự xâm nhập vào một loạt các mục tiêu nhạy cảm. "Hãy nghĩ về Supermicro là Microsoft của thế giới phần cứng", một quan chức tình báo Mỹ đã từng nghiên cứu về Supermicro và mô hình kinh doanh của mình cho biết. “Các bo mạch chủ tấn công Supermicro giống như tấn công Windows. Nó giống như tấn công toàn thế giới.”
Sự an toàn của chuỗi cung ứng công nghệ toàn cầu đã bị xâm phạm, ngay cả khi người tiêu dùng và hầu hết các công ty vẫn chưa biết
Trước khi bằng chứng về cuộc tấn công nổi lên bên trong mạng lưới các công ty Mỹ, các nguồn tin tình báo Mỹ đã báo cáo rằng gián điệp của Trung cộng đã có kế hoạch giới thiệu các vi mạch độc hại vào chuỗi cung ứng. Các nguồn không cụ thể, theo một người quen thuộc với thông tin mà họ cung cấp và hàng triệu bo mạch chủ được chuyển vào Hoa Kỳ hàng năm. Nhưng trong nửa đầu năm 2014, một người khác đã trình bày về các cuộc thảo luận cấp cao, các quan chức tình báo đã tới Nhà Trắng với một cái gì đó cụ thể hơn: quân đội Trung cộng đang chuẩn bị đưa chip vào các bo mạch chủ Supermicro. Độ đặc hiệu của thông tin rất đáng chú ý, nhưng đó cũng là những thách thức mà nó đặt ra. Việc đưa ra cảnh báo rộng rãi cho khách hàng của Supermicro có thể làm tê liệt công ty, một nhà sản xuất phần cứng lớn của Mỹ, và nó không rõ ràng từ trí thông minh mà chiến dịch nhắm đến hoặc mục tiêu cuối cùng của nó. Thêm vào đó, không xác nhận rằng bất cứ ai đã bị tấn công, FBI bị giới hạn về cách nó có thể phản ứng lại. Nhà Trắng yêu cầu cập nhật định kỳ khi thông tin được đưa vào, người quen thuộc với các cuộc thảo luận nói.
Apple đã phát hiện ra các chip đáng ngờ bên trong các máy chủ Supermicro vào khoảng tháng 5 năm 2015, sau khi phát hiện các vấn đề về hoạt động mạng và các vấn đề phần mềm lẻ, theo một người quen thuộc với dòng thời gian. Hai trong số những người trong thâm niên của Apple nói rằng công ty đã báo cáo vụ việc với FBI nhưng vẫn lưu giữ chi tiết về những gì nó đã phát hiện được tổ chức chặt chẽ, ngay cả trong nội bộ. Các nhà điều tra chính phủ vẫn tự tìm kiếm manh mối khi Amazon phát hiện ra và cho họ truy cập vào phần cứng bị phá hoại, theo một quan chức Mỹ.
Điều này đã tạo ra một cơ hội vô giá cho các cơ quan tình báo và FBI - bằng cách điều hành toàn bộ các nhóm nghiên cứu và phản công của họ - để xem những con chip này trông như thế nào và chúng hoạt động như thế nào.
Các chip trên các máy chủ Elemental được thiết kế không rõ ràng nhất có thể, theo một người đã xem báo cáo chi tiết được chuẩn bị cho Amazon bởi nhà thầu bảo mật của bên thứ ba, cũng như người thứ hai đã xem ảnh kỹ thuật số và hình ảnh X quang các chip được tích hợp vào một báo cáo sau đó do nhóm bảo mật của Amazon chuẩn bị. Màu xám hoặc màu trắng nhạt, chúng trông giống như bộ ghép điều hòa tín hiệu, một thành phần bo mạch chủ phổ biến khác, so với vi mạch, và do đó chúng không thể phát hiện được nếu không có thiết bị chuyên dụng. Tùy thuộc vào mô hình hội đồng quản trị, các con chip khác nhau về kích thước một chút, cho thấy rằng những kẻ tấn công đã cung cấp các nhà máy khác nhau với các lô khác nhau.
Các quan chức quen thuộc với cuộc điều tra nói rằng vai trò chính của cấy ghép như vậy là để mở cửa mà những kẻ tấn công khác có thể trải qua. "Tấn công phần cứng là về truy cập", như một cựu quan chức cấp cao đặt nó. Theo các thuật ngữ đơn giản, phần cấy ghép trên phần cứng Supermicro đã điều khiển các hướng dẫn vận hành cốt lõi cho máy chủ biết phải làm gì khi dữ liệu di chuyển qua một bo mạch chủ, hai người quen thuộc với hoạt động của chip. Điều này xảy ra tại một thời điểm quan trọng, vì các bit nhỏ của hệ điều hành đã được lưu trữ trong bộ nhớ tạm thời của hội đồng quản trị trên đường đến bộ xử lý trung tâm của máy chủ, CPU. Cấy ghép được đặt trên bảng theo cách cho phép nó hiệu chỉnh hàng đợi thông tin này, tiêm mã riêng của nó hoặc thay đổi thứ tự của các lệnh mà CPU có ý định tuân theo. Những thay đổi nhỏ hẹp có thể tạo ra những hiệu ứng tai hại.
Kể từ khi cấy ghép là nhỏ, số lượng mã họ chứa là nhỏ là tốt. Nhưng họ có khả năng làm hai việc rất quan trọng: bảo thiết bị giao tiếp với một trong các máy tính nặc danh ở nơi khác trên internet được tải với mã phức tạp hơn; và chuẩn bị hệ điều hành của thiết bị để chấp nhận mã mới này. Các chip bất hợp pháp có thể thực hiện tất cả những điều này vì chúng được kết nối với bộ điều khiển quản lý ván chân tường, một loại siêu dữ liệu mà quản trị viên sử dụng để đăng nhập từ xa vào máy chủ có vấn đề, cho phép họ truy cập vào mã nhạy cảm nhất ngay cả trên các máy đã bị lỗi hoặc bị tắt .
Hệ thống này có thể cho phép kẻ tấn công thay đổi cách thiết bị hoạt động, từng dòng một, tuy nhiên họ muốn, không để ai khôn ngoan hơn. Để hiểu được sức mạnh sẽ cung cấp cho họ, hãy lấy ví dụ giả thiết này: Một nơi nào đó trong hệ điều hành Linux, chạy trên nhiều máy chủ, là mã cho phép người dùng bằng cách xác minh mật khẩu đã nhập vào mật khẩu được mã hóa.
Một chip được cấy ghép có thể thay đổi một phần của mã đó để máy chủ sẽ không kiểm tra mật khẩu — và mau! Một máy an toàn được mở cho bất kỳ và tất cả người dùng. Một con chip cũng có thể ăn cắp các khóa mã hóa để liên lạc an toàn, chặn các cập nhật bảo mật sẽ trung hòa tấn công và mở ra các con đường mới tới internet. Nếu một số bất thường được chú ý, nó có thể sẽ được đúc như một sự kỳ quặc không rõ nguyên nhân. Joe FitzPatrick, người sáng lập Hardware Security Resources LLC, một công ty chuyên đào tạo các chuyên gia bảo mật mạng trong các kỹ thuật hacking phần cứng, nói: “Phần cứng sẽ mở ra bất cứ cánh cửa nào mà nó muốn”.
Các quan chức Mỹ đã bắt Trung cộng thử nghiệm với phần cứng giả mạo trước đây, nhưng họ chưa bao giờ thấy bất cứ điều gì về quy mô và tham vọng này. Sự an toàn của chuỗi cung ứng công nghệ toàn cầu đã bị xâm phạm, ngay cả khi người tiêu dùng và hầu hết các công ty vẫn chưa biết. Những gì còn lại cho các nhà điều tra để tìm hiểu là làm thế nào những kẻ tấn công đã xâm nhập triệt để quá trình sản xuất của Supermicro - và bao nhiêu cánh cửa họ đã mở ra vào các mục tiêu của Mỹ.
Không giống như hack phần mềm, thao tác phần cứng tạo ra một đường mòn trong thế giới thực. Các thành phần để lại thông báo về giao dịch và hóa đơn giao hàng. Bảng có số sê-ri theo dõi các nhà máy cụ thể. Để theo dõi các con chip bị hỏng đến nguồn của họ, các cơ quan tình báo Mỹ đã bắt đầu theo chuỗi cung ứng serpentine của Supermicro ngược lại, một người đã trình bày về các bằng chứng thu thập được trong cuộc thăm dò nói.
Gần đây nhất là năm 2016, theo DigiTimes, một trang tin tức chuyên về nghiên cứu chuỗi cung ứng, Supermicro có ba nhà sản xuất chính xây dựng bo mạch chủ, hai trụ sở chính tại Đài Loan và một ở Thượng Hải. Khi các nhà cung cấp như vậy bị nghẹt thở với những đơn đặt hàng lớn, đôi khi họ chuyển bưu kiện ra công việc cho các nhà thầu phụ. Để tiến xa hơn nữa, các cơ quan gián điệp của Hoa Kỳ đã thu hút các công cụ phi thường theo ý của họ. Họ đã sàng lọc thông qua các chặn truyền thông, khai thác thông tin ở Đài Loan và Trung cộng, thậm chí theo dõi các cá nhân chủ chốt thông qua điện thoại của họ, theo người tóm tắt bằng chứng thu thập được trong cuộc thăm dò. Cuối cùng, người đó nói, họ truy tìm những con chip độc hại cho bốn nhà máy phụ hợp đồng đã xây dựng các bo mạch chủ Supermicro trong ít nhất hai năm.
Khi các đại lý theo dõi tương tác giữa các quan chức Trung cộng, các nhà sản xuất bo mạch chủ và người trung gian, họ đã thoáng nhìn thấy quá trình gieo hạt hoạt động như thế nào. Trong một số trường hợp, các nhà quản lý nhà máy đã được tiếp cận bởi những người tuyên bố đại diện cho Supermicro hoặc những người nắm giữ các vị trí đề xuất một kết nối với chính phủ. Người trung gian sẽ yêu cầu thay đổi thiết kế ban đầu của bo mạch chủ, ban đầu cung cấp hối lộ cùng với các yêu cầu bất thường của họ. Nếu điều đó không hiệu quả, họ sẽ đe dọa các nhà quản lý nhà máy với việc kiểm tra có thể đóng cửa các nhà máy của họ. Một khi sắp xếp được đưa ra, các trung gian sẽ tổ chức giao các con chip cho các nhà máy.
Các nhà điều tra kết luận rằng kế hoạch phức tạp này là công việc của đơn vị Quân đội Giải phóng Nhân dân chuyên về các cuộc tấn công phần cứng, theo hai người đã trình bày về các hoạt động của nó. Sự tồn tại của nhóm này chưa bao giờ được tiết lộ trước đây, nhưng một quan chức nói, “Chúng tôi đã theo dõi những kẻ này lâu hơn chúng tôi muốn thừa nhận.” Đơn vị được cho là tập trung vào các mục tiêu ưu tiên cao, bao gồm cả thương mại tiên tiến công nghệ và máy tính của quân đội đối thủ. Trong các cuộc tấn công trước đây, nó nhắm mục tiêu thiết kế cho các chip máy tính hiệu suất cao và các hệ thống máy tính của các nhà cung cấp dịch vụ internet lớn ở Hoa Kỳ.
Bộ này nói thêm rằng trong năm 2011, Trung cộng đã đề xuất các bảo đảm quốc tế về an ninh phần cứng cùng với các thành viên khác của Tổ chức Hợp tác Thượng Hải, một cơ quan an ninh khu vực. Tuyên bố kết luận: "Chúng tôi hy vọng các bên đưa ra ít lời buộc tội và nghi ngờ vô ích nhưng tiến hành thảo luận và cộng tác mang tính xây dựng hơn để chúng ta có thể cùng nhau xây dựng một không gian mạng yên bình, an toàn, cởi mở, hợp tác và trật tự."
Cuộc tấn công Supermicro là trên một trật tự hoàn toàn từ các tập trước đó được quy cho PLA. Nó đe dọa đã đạt đến một loạt các người dùng cuối cùng, với một số người quan trọng trong hỗn hợp. Apple đã sử dụng phần cứng Supermicro trong các trung tâm dữ liệu trong nhiều năm, nhưng mối quan hệ đã tăng lên sau năm 2013, khi Apple mua lại công ty khởi nghiệp có tên là Topsy Labs, công ty đã tạo ra công nghệ siêu nhanh để lập chỉ mục và tìm kiếm các nội dung internet khổng lồ. Đến năm 2014, khởi động đã được đưa vào xây dựng các trung tâm dữ liệu nhỏ ở hoặc gần các thành phố lớn trên toàn cầu. Dự án này, được biết đến trong nội bộ như Ledbelly, được thiết kế để làm cho chức năng tìm kiếm trợ lý giọng nói của Apple, Siri, nhanh hơn, theo ba người trong thâm niên của Apple.
Các tài liệu được thấy bởi Businessweek cho thấy trong năm 2014, Apple đã lên kế hoạch đặt hàng hơn 6.000 máy chủ Supermicro để lắp đặt tại 17 địa điểm, bao gồm Amsterdam, Chicago, Hồng Kông, Los Angeles, New York, San Jose, Singapore và Tokyo, cùng với 4.000 máy chủ cho các trung tâm dữ liệu hiện có của Bắc Carolina và Oregon. Những đơn đặt hàng này được cho là gấp đôi, lên 20.000, vào năm 2015. Ledbelly đã biến Apple thành khách hàng Supermicro quan trọng vào đúng thời điểm PLA được tìm thấy là thao túng phần cứng của nhà cung cấp.
Sự chậm trễ của dự án và các vấn đề hiệu suất ban đầu có nghĩa là khoảng 7.000 máy chủ Supermicro đang ồn ào trong mạng của Apple vào thời điểm nhóm bảo mật của công ty tìm thấy các chip bổ sung. Bởi vì Apple đã không, theo một quan chức Mỹ, cung cấp cho các nhà điều tra chính phủ quyền truy cập vào các cơ sở của nó hoặc phần cứng giả mạo, mức độ của cuộc tấn công vẫn ở bên ngoài quan điểm của họ.
Microchips tìm thấy trên bo mạch chủ bị thay đổi trong một số trường hợp trông giống như couplers điều hòa tín hiệu.
Các nhà điều tra người Mỹ cuối cùng đã tìm ra ai khác đã bị tấn công. Vì các chip được cấy ghép được thiết kế để ping các máy tính ẩn danh trên internet để có thêm hướng dẫn, các tác nhân có thể tấn công các máy tính đó để xác định những người khác bị ảnh hưởng. Mặc dù các nhà điều tra không thể chắc chắn rằng họ đã tìm thấy mọi nạn nhân, một người quen thuộc với cuộc thăm dò của Mỹ cho biết họ cuối cùng đã kết luận rằng con số này là gần 30 công ty.
Điều đó để lại câu hỏi của ai để thông báo và làm thế nào. Các quan chức Mỹ đã cảnh báo trong nhiều năm rằng phần cứng do hai gã khổng lồ viễn thông Trung cộng, Huawei Corp. và ZTE Corp. thực hiện, chịu sự điều chỉnh của chính phủ Trung cộng. (Cả Huawei và ZTE đều nói rằng không có sự giả mạo nào xảy ra.) Nhưng một cảnh báo công khai tương tự liên quan đến một công ty Mỹ đã không được giải đáp. Thay vào đó, các quan chức đã đưa ra một số lượng nhỏ khách hàng quan trọng của Supermicro. Một giám đốc điều hành của một công ty lưu trữ web lớn cho biết thông điệp ông đã lấy đi từ cuộc trao đổi rất rõ ràng: Phần cứng của Supermicro không thể tin cậy được. "Đó là trò lừa đảo cho mọi người — làm cho chuyện đó trở nên tồi tệ", người đó nói.
Amazon, về phần mình, bắt đầu các cuộc đàm phán mua lại với một đối thủ Elemental, nhưng theo một người quen thuộc với các cuộc thảo luận của Amazon, nó đảo ngược khóa học vào mùa hè năm 2015 sau khi biết rằng hội đồng của Elemental đang gần một thỏa thuận với người mua khác. Amazon đã công bố mua lại Elemental vào tháng 9 năm 2015, trong một giao dịch có giá trị mà một người quen thuộc với thỏa thuận này là 350 triệu đô la. Nhiều nguồn tin nói rằng Amazon dự định chuyển phần mềm của Elemental sang đám mây của AWS, có chip, bo mạch chủ và máy chủ thường được thiết kế nội bộ và được xây dựng bởi các nhà máy mà Amazon ký hợp đồng trực tiếp.
Một ngoại lệ đáng chú ý là các trung tâm dữ liệu của AWS bên trong Trung cộng, được lấp đầy bởi các máy chủ được xây dựng theo Supermicro, theo hai người có kiến thức về các hoạt động của AWS ở đó. Lưu ý đến các phát hiện nguyên tố, nhóm an ninh của Amazon đã tiến hành điều tra riêng của mình vào các cơ sở của Bắc Kinh của AWS và tìm thấy bo mạch chủ bị thay đổi ở đó, bao gồm các thiết kế tinh vi hơn trước đây. Trong một trường hợp, các chip độc hại đủ mỏng để chúng được nhúng giữa các lớp sợi thủy tinh mà các thành phần khác được gắn vào, theo một người đã xem các hình ảnh của các con chip. Thế hệ chip đó nhỏ hơn một đầu bút chì sắc nhọn, người đó nói. (Amazon phủ nhận rằng AWS biết về các máy chủ được tìm thấy ở Trung cộng có chứa các chip độc hại.)
Trung cộng từ lâu đã được biết đến để theo dõi các ngân hàng, nhà sản xuất và công dân bình thường trên chính đất của họ và khách hàng chính của đám mây Trung cộng của AWS là các công ty trong nước hoặc các tổ chức nước ngoài có hoạt động tại đó. Tuy nhiên, thực tế là đất nước dường như đang tiến hành các hoạt động đó bên trong đám mây của Amazon đã giới thiệu công ty với một nút Gordian. Đội an ninh của nó xác định rằng sẽ rất khó để loại bỏ một cách lặng lẽ thiết bị và rằng, ngay cả khi họ có thể nghĩ ra, làm như vậy sẽ cảnh báo những kẻ tấn công rằng các con chip đã được tìm thấy, theo một người quen thuộc với cuộc thăm dò của công ty. Thay vào đó, nhóm nghiên cứu đã phát triển một phương pháp giám sát các con chip. Trong những tháng tiếp theo, họ đã phát hiện thấy thông tin đăng ký ngắn gọn giữa những kẻ tấn công và các máy chủ bị phá hoại nhưng không thấy bất kỳ nỗ lực nào để xóa dữ liệu. Điều đó có thể có nghĩa là các kẻ tấn công đã tiết kiệm chip cho một hoạt động sau này hoặc họ đã thâm nhập vào các phần khác của mạng trước khi bắt đầu theo dõi. Cả hai khả năng đều không yên tâm.
Khi vào năm 2016, chính phủ Trung cộng sắp thông qua một luật an ninh mạng mới - được nhiều người ở nước ngoài xem như là một lý do để cho các nhà chức trách tiếp cận rộng rãi hơn với các dữ liệu nhạy cảm - Amazon quyết định hành động. Vào tháng 8, nó đã chuyển quyền kiểm soát hoạt động của trung tâm dữ liệu Bắc Kinh đến đối tác địa phương của mình, Beijing Sinnet, một động thái mà các công ty cho biết là cần thiết để tuân thủ luật đến. Tháng 11 năm sau, Amazon đã bán toàn bộ cơ sở hạ tầng cho Sinnet Bắc Kinh với giá khoảng 300 triệu USD. Người quen thuộc với đầu dò của Amazon thực hiện việc bán hàng như một sự lựa chọn để “tấn công chi tiêu bị bệnh”.
Đối với Apple, một trong ba người trong thâm niên nói rằng vào mùa hè năm 2015, một vài tuần sau khi nó xác định được các con chip độc hại, công ty bắt đầu loại bỏ tất cả các máy chủ Supermicro khỏi các trung tâm dữ liệu của nó. không. ”Mỗi máy chủ Supermicro, tất cả 7.000 hoặc hơn, đã được thay thế trong một vài tuần, người trong cuộc nói. Trong năm 2016, Apple thông báo với Supermicro rằng họ đang cắt đứt mối quan hệ của họ hoàn toàn - một quyết định của một phát ngôn viên của Apple được gán cho các câu hỏi của Businessweek về một sự cố an ninh không liên quan và tương đối nhỏ.
Tháng 8, CEO của Supermicro, Liang, tiết lộ rằng công ty đã mất hai khách hàng lớn. Mặc dù ông không nêu tên họ, nhưng sau đó một người được xác định trong các bản tin như Apple. Ông đổ lỗi cho sự cạnh tranh, nhưng lời giải thích của ông là mơ hồ. "Khi khách hàng yêu cầu mức giá thấp hơn, người của chúng tôi đã không phản ứng đủ nhanh", ông nói trong một cuộc gọi hội nghị với các nhà phân tích. Hayes, người phát ngôn của Supermicro, cho biết công ty chưa bao giờ được thông báo về sự tồn tại của các chip độc hại trên bo mạch chủ của mình bởi khách hàng hoặc cơ quan thực thi pháp luật của Hoa Kỳ.
Đồng thời với phát hiện của chip bất hợp pháp vào năm 2015 và điều tra đang diễn ra, Supermicro đã bị cản trở bởi một vấn đề kế toán, mà công ty mô tả như là một vấn đề liên quan đến thời điểm ghi nhận doanh thu nhất định. Sau khi bỏ lỡ hai thời hạn để nộp báo cáo hàng quý và hàng năm theo yêu cầu của nhà quản lý, Supermicro đã bị xóa khỏi Nasdaq vào ngày 23 tháng 8 năm nay. Nó đánh dấu một sự vấp ngã bất thường cho một công ty có doanh thu hàng năm đã tăng mạnh trong bốn năm trước, từ mức báo cáo 1,5 tỷ USD trong năm 2014 lên mức 3,2 tỷ USD trong năm nay.
Một ngày thứ Sáu cuối tháng 9 năm 2015, Tổng thống Barack Obama và Chủ tịch Trung cộng Tập Cận Bình xuất hiện cùng nhau tại Nhà Trắng trong một cuộc họp báo kéo dài một giờ với một thỏa thuận mang tính bước ngoặt về an ninh mạng. Sau nhiều tháng đàm phán, Hoa Kỳ đã trích xuất từ Trung cộng một lời hứa lớn: Nó sẽ không còn hỗ trợ hành vi trộm cắp của tin tặc tài sản trí tuệ của Hoa Kỳ để mang lại lợi ích cho các công ty Trung cộng. Theo một người quen thuộc với các cuộc thảo luận giữa các quan chức cấp cao trên khắp chính phủ Mỹ, mối quan tâm sâu sắc của Nhà Trắng là Trung cộng sẵn sàng đưa ra nhượng bộ này bởi vì nó đã phát triển các hình thức hacking tiên tiến và lén lút hơn. gần độc quyền của chuỗi cung ứng công nghệ.
Trong những tuần sau khi thỏa thuận được công bố, chính phủ Mỹ đã lặng lẽ nâng cao báo động với hàng chục giám đốc điều hành công nghệ và nhà đầu tư tại một cuộc họp nhỏ, chỉ mời ở McLean, Va., Do Lầu Năm Góc tổ chức. Theo một người đã có mặt, các quan chức Bộ Quốc phòng đã giới thiệu các nhà công nghệ về một cuộc tấn công gần đây và yêu cầu họ suy nghĩ về việc tạo ra các sản phẩm thương mại có thể phát hiện các cấy ghép phần cứng. Người tham dự không được nói tên của nhà sản xuất phần cứng có liên quan, nhưng rõ ràng là ít nhất một số người trong phòng là Supermicro, người đó nói.
Vấn đề đang được thảo luận không chỉ là công nghệ. Nó đã nói chuyện với các quyết định được thực hiện từ nhiều thập kỷ trước để gửi công việc sản xuất tiên tiến đến Đông Nam Á. Trong những năm qua, sản xuất với chi phí thấp của Trung cộng đã củng cố các mô hình kinh doanh của nhiều công ty công nghệ lớn nhất nước Mỹ. Chẳng hạn, Apple đã sản xuất nhiều thiết bị điện tử tinh vi nhất trong nước. Sau đó, vào năm 1992, nó đã đóng một nhà máy hiện đại để lắp ráp bo mạch chủ và máy tính ở Fremont, California, và gửi nhiều công việc đó ra nước ngoài.
Qua nhiều thập niên, sự an toàn của chuỗi cung ứng đã trở thành một bài báo về đức tin bất chấp cảnh báo lặp đi lặp lại của các quan chức phương Tây. Niềm tin hình thành rằng Trung cộng không thể gây nguy hiểm cho vị trí của mình như là hội thảo với thế giới bằng cách để các gián điệp của nó can thiệp vào các nhà máy của mình. Điều đó đã để lại quyết định về nơi để xây dựng hệ thống thương mại nghỉ ngơi phần lớn vào nơi công suất lớn nhất và rẻ nhất. "Bạn kết thúc với một món hời của Satan cổ điển", một cựu quan chức Hoa Kỳ nói. “Bạn có thể có ít nguồn cung cấp hơn mức bạn muốn và đảm bảo nguồn cung cấp an toàn, hoặc bạn có thể có nguồn cung cấp mà bạn cần, nhưng sẽ có rủi ro. Mọi tổ chức đều chấp nhận đề xuất thứ hai. ”
Trong ba năm kể từ khi cuộc họp báo ở McLean, không có cách hữu hiệu về mặt thương mại để phát hiện các cuộc tấn công giống như một trong những bo mạch chủ của Supermicro đã xuất hiện - hoặc có vẻ như đang nổi lên. Rất ít công ty có nguồn lực của Apple và Amazon, và phải mất một số may mắn ngay cả khi họ phát hiện ra vấn đề. "Công cụ này là ở rìa cắt của cạnh cắt, và không có giải pháp công nghệ dễ dàng", một trong những người hiện diện ở McLean nói. “Bạn phải đầu tư vào những thứ mà thế giới muốn. Bạn không thể đầu tư vào những thứ mà thế giới chưa sẵn sàng chấp nhận. ”
Bloomberg LP đã là một khách hàng Supermicro. Theo một phát ngôn viên của Bloomberg LP, công ty đã không tìm thấy bằng chứng nào cho thấy nó đã bị ảnh hưởng bởi các vấn đề phần cứng được nêu ra trong bài báo.
Jordan Robertson và Michael Riley
bài viết được dịch quá dở. Có nhiều chỗ tối nghĩa và ngớ ngẩn
ReplyDelete