彭博:蘋果、Amazon等近30家美企伺服器遭植入中國惡意晶片竊密
彭博周四引述消息人士報導,包括蘋果、Amazon等將近30家美國企業使用的伺服器在製造過程中遭「供應鏈攻擊」,被中國植入間諜晶片藉以竊取機密資訊。不過包括蘋果、Amazon及伺服器業者Super Micro都駁斥這項報導。
報導指出,2015年Amazon打算收購一家串流視訊伺服器業者Elemental Technologies來擴大其Amazon Prime Video服務,該公司也有助於Amazon Web Service (AWS)的業務。為此,AWS聘請第三方稽核業者來檢視Elemental的安全性,初步就發現有點異狀,促使AWS進一步調查Elemental的主要產品,即安裝在客戶網路上用於影像壓縮的伺服器。
Elemental的伺服器是由美國超微電腦公司(Super Micro Computer,簡稱SuperMicro)組裝,後者也是全球主要伺服器主機板供應商。2015年春天,Elemental將數台伺服器送往加拿大第三方安全廠商進行測試,結果在伺服器主機板上發現一顆「比米粒大不了多少」的微小晶片,這並不包含在板子的原始設計中。Amazon隨即通報美國主管機關,也引發美國情治單位的震驚,因為Elemental的伺服器也賣給了美國國防部、中央情報局(CIA)的無人機部門、美國海軍。
更糟的是,Elemental只是SuperMicro數百家客戶之一。美國政府之後三年間持續調查發現,這些晶片是在SuperMicro中國下包商的工廠內被植入主機板中,讓攻擊者在這些伺服器所在的網路開啟後門。
報導引述美國兩名官員指出,這些晶片是由中國人民解放軍的間諜在製造過程中植入。一名官員表示,透過SuperMicro,中國可能已經建立廣大的供應鏈攻擊(supply chain attack)管道滲透到了美國企業中。調查人員發現已經有將近30家美國公司,包括大型銀行、政府外包商,甚至蘋果遭到攻擊。
知名吹哨者Edward Snowden曾揭露過美國情治單位曾經在伺服器出貨運到客戶端半路上攔截加裝間諜晶片。另一種則是從生產源頭即植入機器。硬體滲透比軟體更可怕,因為更難移除,引發的災難也更長久、更具破壞性。
報導也引述蘋果消息人士指出,SuperMicro大客戶蘋果在2015年夏天也在SuperMicro主機板上發現了惡意晶片,隔年便以不相干的原因為由終止了和該公司的合約。
Amazon、蘋果及SuperMicro皆透過彭博及The Verge各大媒體否認此事。Amazon指出,報導中提及的供應鏈攻擊、AWS對中國生產的伺服器遭竄改知情,以及AWS協助FBI調查惡意硬體一事皆非事實。Amazon重新審視該公司2015年對Elemental收購案中關於SuperMicro的調查紀錄,沒有發現任何支援惡意晶片和硬體竄改的證據。
蘋果也指出,多年來彭博已就此事多次聯繫蘋果。而蘋果每次也都再一次進行詳細的內部調查,都沒有發現任何支持的證據。蘋果從未發現過伺服器上有惡意晶片、硬體操弄或任何故意設下的漏洞,也未和FBI及其他單位就此事有過任何接觸。
SuperMicro也發表聲明,表示該公司從未聽過政府單位就此事的調查,也未曾聽說該公司因此事而掉單。此外SuperMicro並不設計或製造網路晶片或相關韌體,也不曾向其他伺服器或是儲存公司購買這些東西。
此事在中美貿易大戰期間格外顯得敏感。不過也不是第一次。早在2012年美國也曾因為指控中國華為及中興網路設備藏有可能竊密的後門,呼籲美國企業不要使用。今年初FBI、CIA與國安局NSA也向美國人警告不要使用華為的產品或服務。