信息的特殊性非常显着,但它所带来的挑战也是如此。向Supermicro的客户发出广泛的警告可能会削弱该公司,这是一家美国主要的硬件制造商,并且从该运营所针对的情报或其最终目标是什么并不清楚。此外,在没有确认任何人受到攻击的情况下,联邦调查局在如何应对方面受到限制。知情人士说,白宫要求定期更新信息。
据熟悉时间表的人士透露,苹果在发现奇怪的网络活动和固件问题后,于2015年5月左右在Supermicro服务器内发现可疑芯片。两名高级苹果内部人士表示,该公司向联邦调查局报告了这一事件,但保留了有关其严重控制的内容的详细信息。据一位美国官员称,当亚马逊发现它并让他们获得被破坏的硬件时,政府调查人员仍然在追逐自己的线索。这为情报机构和联邦调查局创造了宝贵的机会 – 然后由其网络和反情报团队进行全面调查 – 看看筹码是什么以及它们如何运作。
据一位看过由其第三方安全承包商为亚马逊准备的详细报告的人以及第二位看过数码照片和X射线图像的人说,Elemental服务器上的芯片设计得尽可能不显眼。这些芯片纳入了亚马逊安全团队编写的后续报告中。灰色或灰白色,它们看起来更像信号调理耦合器,另一种常见的主板组件,而不是微芯片,因此如果没有专门的设备,它们不太可能被检测到。根据电路板型号,芯片尺寸略有不同,这表明攻击者提供了不同批次的不同工厂。
熟悉调查的官员表示,这些植入物的主要作用是打开其他攻击者可以通过的大门。正如一位前高级官员所说,“硬件攻击是关于访问的”。据简化而言,Supermicro硬件上的植入物操纵了核心操作指令,这些指令告诉服务器当数据在主板上移动时该做什么,两位熟悉芯片操作的人士说。这发生在关键时刻,因为操作系统的一小部分存储在电路板的临时存储器中,然后通往服务器的中央处理器CPU。将植入物放置在板上,使其能够有效地编辑该信息队列,注入其自己的代码或改变CPU应遵循的指令的顺序。
由于植入物很小,它们所包含的代码量也很小。但他们能够做两件非常重要的事情:告诉设备与互联网上其他地方的几台匿名计算机之一进行通信,这些计算机装载了更复杂的代码; 并准备设备的操作系统接受这个新代码。非法芯片可以做到这一切,因为它们连接到基板管理控制器,这是管理员用来远程登录有问题的服务器的一种超级芯片,即使在已经崩溃或关闭的机器上也能访问最敏感的代码。 。
这个系统可以让攻击者逐行改变设备的运行方式,无论他们想要什么,都不会让任何人变得更聪明。为了理解能给他们的力量,请采用这个假设的例子:在许多服务器上运行的Linux操作系统中的某个地方是通过验证存储的加密密码来验证用户的代码。植入的芯片可以改变部分代码,因此服务器不会检查密码 – 并且是presto!安全的机器对任何和所有用户开放。芯片还可以窃取加密密钥以进行安全通信,阻止可以抵消攻击的安全更新,并开辟通往互联网的新途径。如果发现一些异常情况,它可能会被视为无法解释的奇怪现象。“硬件可以打开它想要的任何门,”Joe FitzPatrick说,
美国官员之前已经抓住中国试验硬件篡改,但他们从来没有见过这种规模和野心。即使消费者和大多数公司还不知道,全球技术供应链的安全性也受到了损害。调查人员需要了解的是,攻击者如何彻底渗透到Supermicro的生产过程中 – 以及他们向美国目标打开了多少扇门。
与基于软件的黑客攻击不同,硬件操作创建了真实的线索。组件留下了运输清单和发票。电路板具有可追溯到特定工厂的序列号。为了跟踪损坏的芯片,美国情报机构开始反过来跟踪Supermicro的蛇形供应链,一位了解调查期间收集的证据的人士表示。
据2016年,一家专门从事供应链研究的新闻网站DigiTimes表示,Supermicro有三家主要制造商建造主板,两家总部设在台湾,一家在上海。当这些供应商被大订单窒息时,他们有时会将工作分包给分包商。为了进一步发展,美国间谍机构利用了他们可以使用的巨大工具。根据调查期间收集到的证据的人士透露,他们通过通讯拦截,在台湾和中国搜集线人,甚至通过手机追踪关键人物。最终,该人说,他们将恶意芯片追溯到四家分包厂,这些工厂至少已经建造了超微型主板两年。
当代理商监控中国官员,主板制造商和中间商之间的互动时,他们瞥见了播种过程的运作方式。在某些情况下,工厂经理与声称代表Supermicro或持有表明与政府有联系的职位的人接洽。中间商会要求更改主板的原始设计,最初提供贿赂以及他们不寻常的要求。如果这不起作用,他们会威胁工厂经理进行检查,以便关闭他们的工厂。一旦安排到位,中间商将组织芯片交付给工厂。
调查人员得出的结论是,这个错综复杂的计划是一个专门从事硬件攻击的人民解放军部队的工作,据两位了解其活动的人说。这个小组的存在以前从未透露过,但有一位官员说,“我们一直跟踪这些家伙的时间超过我们想承认的时间。”该单位被认为专注于高优先级目标,包括高级商业技术和竞争对手的计算机。在过去的攻击中,它针对的是美国大型互联网提供商的高性能计算机芯片和计算系统的设计。
提供“ 商业周刊报道”的详细信息,中国外交部发表声明说“中国是网络安全的坚决捍卫者。”该部补充说,2011年,中国与上海合作组织的其他成员一起提出了硬件安全的国际担保。组织,一个区域安全机构。声明总结说:“我们希望各方减少无端的指责和怀疑,但要进行更具建设性的谈话和合作,以便我们能够共同努力建设一个和平,安全,开放,合作和有序的网络空间。”
Supermicro的攻击完全来自于早期的PLA事件。它威胁到了一系列令人眼花缭乱的最终用户,其中包括一些重要用户。就其本身而言,苹果公司多年来一直在其数据中心使用Supermicro硬件,但这种关系在2013年之后愈演愈烈,当时苹果公司收购了一家名为Topsy Labs的初创公司,该公司创建了用于索引和搜索大量互联网内容的超快技术。到2014年,该创业公司开始在全球主要城市或附近建设小型数据中心。据三位资深苹果内部人士透露,这个项目在内部称为Ledbelly,旨在使Apple的语音助手Siri的搜索功能更快。
“ 商业周刊 ”看到的文件显示,2014年,Apple计划在17个地点订购6,000多台Supermicro服务器,包括阿姆斯特丹,芝加哥,香港,洛杉矶,纽约,圣何塞,新加坡和东京,以及4,000台服务器其现有的北卡罗来纳州和俄勒冈州数据中 到2015年,这些订单应该增加一倍,达到20,000.Ledbelly让Apple成为重要的Supermicro客户,同时PLA被发现操纵供应商的硬件。
项目延迟和早期性能问题意味着,当该公司的安全团队发现增加的芯片时,大约有7,000台Supermicro服务器在Apple的网络中嗡嗡作响。据一位美国官员称,由于苹果没有向政府调查人员提供其设施或篡改硬件的访问权限,因此他们认为攻击的范围仍然存在。
美国调查人员最终发现了其他人受到了打击。由于植入的芯片设计用于ping互联网上的匿名计算机以获得进一步指示,因此操作人员可以破解这些计算机以识别受到影响的其他人。虽然调查人员无法确定他们是否找到了所有受害者,但熟悉美国调查的人士表示,他们最终得出结论,这个数字差不多是30家公司。
这留下了要通知谁以及如何通知的问题。美国官员多年来一直警告说,两家中国电信巨头华为公司和中兴通讯公司制造的硬件受中国政府操纵。(华为和中兴通讯都表示没有发生过此类篡改行为。)但对于一家美国公司而言,类似的公开警报是不可能的。相反,官员们联系了少数重要的Supermicro客户。一家大型网络托管公司的一位高管表示,他从交易所收到的消息很明确:Supermicro的硬件无法信任。“这是对所有人的推动 – 得到那个废话,”这位人士说。
亚马逊就其本身而言,开始与Elemental竞争对手进行收购谈判,但据一位熟悉亚马逊审议情况的人士透露,在得知Elemental的董事会即将与另一位买家达成协议后,它在2015年夏天改变了方向。亚马逊于2015年9月宣布收购元素,该交易的价值一人熟悉该交易,价值3.5亿美元。多个消息称,亚马逊打算将Elemental的软件转移到AWS的云端,其芯片,主板和服务器通常由内部设计,并由亚马逊直接签约的工厂建造。