耍Q
耍出你的范儿_分享你的福利

中国利用微型芯片渗透亚马逊和苹果

彭博商业周刊报道了硬件供应链攻击,中国组装的主板被发现植入了微型芯片,黑客借此渗透进入了美国政府和大型企业的数据中心,受影响的企业包括了亚马逊和苹果,但两家公司都发表声明予以否认。

报道称,亚马逊在 2015 年准备收购视频压缩技术公司 Elemental Technologies,这家公司曾为 CIA 的无人机视频传输提供了视频压缩技术,在评估阶段亚马逊雇佣了第三方公司检查其安全,在发现了一些令人不安的安全问题之后,Elemental 将其处理视频压缩的服务器打包送到第三方安全公司去详细检查。安全测试人员在主板上发现了原始设计所没有的米粒大小的芯片。调查人员发现芯片是在中国子承包商组装时植入进去的。

这些主板都属于美国超微公司(Supermicro),超微是世界最大的服务器主板供应商之一,该公司的客户包括了银行、美国政府承包商、亚马逊苹果等大型企业。

苹果在 2015 年原计划为其数据中心从超微订购超过 3 万台服务器,但在主板上发现恶意芯片之后苹果与超微终止了合作。

亚马逊 AWS 此前在中国建立了数据中心,大量使用了超微的主板,在发现恶意芯片之后 AWS 安全团队对中国数据中心的主板进行了检查,发现了更多设计巧妙的恶意芯片,AWS 最终将整个中国数据中心都出售给了中国公司。

报道称,这些芯片是中国军方设计的,部分芯片的外形类似信号调节耦合器,集成了内存、网络功能和发动一次攻击所需的足够处理能力。当植入的芯片激活后,它会修改操作系统内核,使其能接受修改。芯片还会尝试联系攻击者控制的服务器接收更多指令。

美国政府官员称,中国的目标是获取高价值的企业机密和渗透进入敏感的政府网络,目前已知没有消费者数据被盗。

彭博商业周刊报道原文:
https://www.bloomberg.com/news/features/2018-10-04/the-big-hack-how-china-used-a-tiny-chip-to-infiltrate-america-s-top-companies
谷歌翻译原文:
大黑客:中国如何利用微型芯片渗透美国公司

根据对政府和企业消息人士的广泛采访,中国间谍的攻击通过破坏美国的技术供应链,使包括亚马逊和苹果在内的近30家美国公司受到攻击。

2015年,亚马逊(Amazon.com Inc.)开始悄悄评估一家名为Elemental Technologies的初创公司,这是一项潜在的收购,旨在帮助其流媒体视频服务的大规模扩展,今天称为亚马逊Prime视频。Elemental总部位于俄勒冈州波特兰市,制作了用于压缩海量视频文件并将其格式化为不同设备的软件。它的技术帮助在线奥运会,与国际空间站进行交流,并向中央情报局汇集无人机镜头。Elemental的国家安全合同并不是拟议收购的主要原因,但它们与亚马逊的政府业务非常吻合,例如亚马逊网络服务(AWS)为CIA建立的高度安全的云。

据熟悉该流程的一位知情人士称,为了帮助尽职调查,正在监督预期收购的AWS聘请了第三方公司来审查Elemental的安全性。第一次通过发现了令人不安的问题,促使AWS更深入地了解了Elemental的主要产品:客户在其网络中安装的用于处理视频压缩的昂贵服务器。这些服务器由Super Micro Computer Inc.为Elemental组装。总部位于圣何塞的公司(俗称Supermicro)也是世界上最大的服务器主板供应商之一,它是玻璃纤维安装的芯片和电容器集群,充当大小数据中心的神经元。据知情人士称,2015年春末,Elemental的工作人员将几台服务器装箱并送往加拿大安大略省,供第三方安保公司进行测试。

嵌套在服务器的主板上,测试人员发现了一块微小的微芯片,并不比一粒米大,这不是电路板原始设计的一部分。亚马逊向美国当局报告了这一发现,让情报界感到不寒而栗。Elemental的服务器可以在国防部数据中心,CIA的无人机操作以及海军战舰的机载网络中找到。而Elemental只是数百名Supermicro客户中的一员。

在随后的三年以后仍然开放的绝密调查期间,调查人员确定这些芯片允许攻击者在任何包含更改过的机器的网络中创建一个隐形门。知情人士表示,调查人员发现这些芯片已插入中国制造分包商的工厂。

这种攻击比世界已经习以为常的基于软件的事件更为严重。硬件攻击更难以实现,并且可能更具破坏性,承诺间谍机构愿意投入数百万美元和多年的长期隐形访问。

“拥有一个完善的,民族国家级的硬件种植体表面就像是目睹一只独角兽跳过彩虹”

间谍有两种改变计算机设备内脏的方法。其中一种被称为阻截,包括操纵设备,因为它们在从制造商到客户的过程中。根据前国家安全局承包商爱德华·斯诺登泄露的文件,这种方法受到美国间谍机构的青睐。另一种方法是从一开始就播种变化。

特别是一个国家在执行这种攻击方面具有优势:中国,据估计,中国有75%的手机和90%的PC。实际上,实现种子攻击意味着要深入了解产品的设计,在工厂操纵组件,并确保经过篡改的设备通过全球物流链到达所需的位置 – 这就像扔棍子一样在上海长江上游,确保它在西雅图上岸。“拥有一个完善的,民族国家级的硬件植入表面就像见证了一只独角兽跳过彩虹,”Joe Grand说,他是硬件黑客和Grand Idea Studio Inc.的创始人。 “硬件远不是雷达,它几乎被视为黑魔法。”

但这正是美国调查人员发现的:两名官员说,制造过程中已经插入芯片,由人民解放军一个部门的人员说。在Supermicro,中国的间谍似乎找到了一个完美的渠道,美国官员现在称这是对美国公司进行的最重要的供应链攻击。

一位官员表示,调查人员发现它最终影响了近30家公司,包括一家大型银行,政府承包商和全球最有价值的公司Apple Inc. Apple是Supermicro的重要客户,计划在两家公司订购超过30,000台服务器新的全球数据中心网络。Apple的三位资深内部人士称,2015年夏天,它也在Supermicro主板上发现了恶意芯片。苹果公司在第二年切断了与Supermicro的联系,因为它描述了无关的原因。

在电子邮件声明中,亚马逊(宣布于2015年9月收购Elemental),Apple和Supermicro对彭博商业周刊的摘要提出异议 的报道。亚马逊写道:“在收购Elemental时,AWS知道供应链妥协,恶意芯片问题或硬件修改是不正确的。” “在此我们可以非常清楚:苹果从来没有发现任何服务器中有意植入的恶意芯片,’硬件操纵’或漏洞,”Apple写道。“我们仍然没有意识到任何此类调查,”Supermicro的发言人Perry Hayes写道。中国政府没有直接解决有关操纵Supermicro服务器的问题,并发表声明,部分内容是“网络空间供应链安全是一个共同关注的问题,中国也是受害者。”联邦调查局和办公室代表中央情报局和国家安全局的国家情报局局长拒绝发表评论。

1 2 3 4
赞(0) 打赏
转载请注明出处:耍Q-耍出你的范儿_分享你的福利 » 中国利用微型芯片渗透亚马逊和苹果
分享到: 更多 (0)

评论 4

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
  1. #1

    @破破的桥:彭博那篇文章,技术上没什么好讲的,都是文科生记者在那里瞎想。其脑残程度跟海湾战争远程用射频驱动打印机芯片上的后门黑进伊拉克国防部散发病毒的故事差不多(当然这个故事被做国产芯片的教授们多次用来申请更多国家经费……)。

    虽然技术上文章是不成立的,然而一篇火爆的作品,你要看到的是背后的心态。我用一句话总结:

    如果整个政治态势不变化,那么中美之间新的冷战即将开始,但并不主要发生在军事和舆论上,而是围绕技术领域展开,特别是大数据,人工智能,云服务,将成为双方竞争和制造铁幕的焦点。

    看不懂我在说什么的,不要在评论里问谢谢。

    shuaq2个月前 (10-05)回复
  2. #2

    @PITD亚洲虐待博士组织:
    关于芯片事件,时间线上的一个观察:
    公知: 中国怎么可能有这么厉害的芯片,一定是假的。

    军迷&阴谋论: 厉害了我的国,但是功亏一篑被发现了,下次再接再厉呀。
    你博文科生粉丝: 真的假的阿拉芯片这么厉害了?

    你博理科生粉丝: 彭博社这群文科生写的什么狗屁,怎么可能有这么厉害的芯片

    shuaq2个月前 (10-05)回复
  3. #3

    @老虎任:
    以前我有一次查证了一下,美帝在打印机里加芯片那事儿是个都市传说,这次彭博又搞了个类似的大新闻,感觉这个节奏有点大…说实话,主板里面加芯片来搞间谍行动,这个难度不是一般大,首先能生产服务器主板的都是正规大厂,管理不可能差到嵌个芯片进去没人知道。其次,芯片不管是想向外发消息还是搞破坏都要和外界通信,这得绕过操作系统,能把主板compromise 到这种程度,且只有米粒大小,我感觉我国的芯片技术以及对计算机系统的魔改能力还没到这个水平。。(就是美帝我也觉得很难有这个技术)这事儿倒不是说不可能,但是从工程实践和企业管理的角度来看,这事儿太过复杂,几近不可能。
    我感觉这个文章出来是准备为贸易战升级带节奏的,外带今天晚上彭斯要发表对华政策的讲话,这个时间点真是太巧了。

    shuaq2个月前 (10-05)回复
  4. #4

    @tombkeeper:
    这种事儿以前大家吃了亏也都不声张,除非出了斯诺登才会捅出来。现在居然直接在媒体上搞大新闻,我估计是为了给川普提供弹药。

    另外啊,这事儿说明了自主可控也靠不住呢,还是说明了自主可控必须从硅片——不,从沙子开始呢?

    shuaq2个月前 (10-05)回复

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏