彭博商业周刊报道了硬件供应链攻击,中国组装的主板被发现植入了微型芯片,黑客借此渗透进入了美国政府和大型企业的数据中心,受影响的企业包括了亚马逊和苹果,但两家公司都发表声明予以否认。报道称,亚马逊在 2015 年准备收购视频压缩技术公司 Elemental Technologies,这家公司曾为 CIA 的无人机视频传输提供了视频压缩技术,在评估阶段亚马逊雇佣了第三方公司检查其安全,在发现了一些令人不安的安全问题之后,Elemental 将其处理视频压缩的服务器打包送到第三方安全公司去详细检查。安全测试人员在主板上发现了原始设计所没有的米粒大小的芯片。调查人员发现芯片是在中国子承包商组装时植入进去的。这些主板都属于美国超微公司(Supermicro),超微是世界最大的服务器主板供应商之一,该公司的客户包括了银行、美国政府承包商、亚马逊苹果等大型企业。苹果在 2015 年原计划为其数据中心从超微订购超过 3 万台服务器,但在主板上发现恶意芯片之后苹果与超微终止了合作。亚马逊 AWS 此前在中国建立了数据中心,大量使用了超微的主板,在发现恶意芯片之后 AWS 安全团队对中国数据中心的主板进行了检查,发现了更多设计巧妙的恶意芯片,AWS 最终将整个中国数据中心都出售给了中国公司。报道称,这些芯片是中国军方设计的,部分芯片的外形类似信号调节耦合器,集成了内存、网络功能和发动一次攻击所需的足够处理能力。当植入的芯片激活后,它会修改操作系统内核,使其能接受修改。芯片还会尝试联系攻击者控制的服务器接收更多指令。美国政府官员称,中国的目标是获取高价值的企业机密和渗透进入敏感的政府网络,目前已知没有消费者数据被盗。
如何利用微型芯片渗透亚马逊和苹果?
"彭博商业周刊报道了中国对硬件供应链的攻击,直接导致亚马逊、苹果和超微三家公司的股票大幅震荡,其中超微公司(NASDAQ: SMCI)在粉单市场的报价最低时只有 8.50 美元,重挫 60%(目前报价 12.60 美元)。如果中国实施了此类攻击,她是如何做到的?彭博社的报道中并未提及太多技术细节,但有一句话揭露了该攻击的实现方式:恶意芯片被植入了基板管理控制器(Baseboard Management Controller, BMC)。BMC 是服务器主板上的一块关键部件,也是智能平台管理接口(Intelligent Platform Management Interface, IPMI)的基础。BMC 自带一套完整的网络栈,有自己的 KVM、串行控制台和电源管理,相当于「机器内的另一台机器」。有了 BMC,即便服务器因为系统损坏而无法访问,管理员无需亲自到机房也能通过网络远程连接服务器的 IPMI 界面来监控硬件信息和软件状态、变更配置文件、重启设备甚至重新安装操作系统,以近似物理连接的方式操作服务器。安全研究人员认为,恶意芯片被植入在 BMC 芯片和关联的 SPI 缓存或 EEPROM 中间,这样当 BMC 试图从存储空间读取固件代码并执行的时候,恶意芯片便可拦截信号、修改比特流植入恶意代码以允许外部攻击者控制 BMC。拿下 BMC 后,攻击者便可修改宿主机的操作系统、加载含有恶意代码的额外存储空间、连接键盘和终端、操作主内存并注入代码、修改 CPU 指令等等。当 BMC 被攻破,整台机器都处在攻击者的掌控之下。通过攻击域外管理系统以夺取系统控制权的概念并不新鲜,类似的漏洞不止一次被揭露,而硬件厂商向来不关注这类系统的安全性,但通过直接修改硬件进行攻击的手法却是头一遭。安全研究人员讨论了该硬件攻击的几种具体实现方法。"
究竟有没有利用微型芯片渗透亚马逊和苹果?
"上面文章介绍了中国利用微型芯片渗透亚马逊和苹果的技术可行性,但技术可行不代表事实如此。最大的疑点是,如果中国想要通过对 BMC 动手脚的方式攻击目标系统,为什么不直接将 SPI 闪存替换为含有后门的版本呢?一个可能是解释是为了躲过超微的固件更新,但如果想要使用信号耦合器来介入 BMC 芯片和 SPI 闪存之间的通信,该芯片必须包含足够的数据来修改 BMC 固件,进而修改宿主系统并形成一个可利用的后门,这样的芯片要做成如彭博社所描述的那样「只有铅笔尖的大小」可能会有点困难。此外,亚马逊和苹果这样体量的公司应当具有一定规模的数据中心监控系统,而攻击行为所产生的可疑流量和系统修改很难逃过这类系统的检测。
彭博社在发布报道的同时刊登了亚马逊、苹果和超微三家公司以及中国政府的否认声明。跟某些中国电商公司不同,美国上市企业在否认声明上一般会采取更圆滑的态度,这类声明经过了律师的层层审计,以确保日后不会成为投资者诉讼的依据。这种「否认声明」一般可以分为两类:否认一些微小的细节而对大的事实避而不谈,或者使用情绪化且模糊的语言达成看似否认实际上什么都没说的效果。例如在亚马逊的否认声明里,他声称「彭博社报道中的不实之处实在太多,难以估量」,但没有列举究竟有哪些不实之词。亚马逊称「为了淘汰超微设备而将其售予中国合作伙伴」的动议是「荒唐」的,但这跟亚马逊实际的动作无关。亚马逊称「AWS 并没有在收购 Elemental 时知晓供应链被入侵、恶意芯片被植入或者硬件被变更」,为什么要加上「在收购 Elemental 时」这句话限定时间点?此外,该句的主体是 AWS 部门而不是亚马逊,更别提在彭博社的报道中,发现硬件被恶意更改的是一家第三方审计公司。难怪有媒体批判亚马逊的「否认声明」无助于打消市场的怀疑情绪。
相比之下,苹果的否认声明要详细、强烈得多。苹果声称其「从未在服务器上发现过恶意芯片、“硬件操纵”或有意植入的漏洞。苹果也从未与FBI或其他机构对此类事件进行过接触。我们不知道FBI的任何调查,也没有与我们的执法部门进行联系。」这段话无论如何解读,都是对彭博社报道的强烈否认,没有一丝一毫模糊的空间,一旦彭博社的报道被证实,苹果很难逃脱「误导投资者」的指控。此外,无论亚马逊还是苹果都没有在声明中使用「我们不对国家安全或者执法单位事宜进行讨论」这一惯常的默认事实的语句。至于事件的主角,超微公司的否认声明则显得无关紧要。超微公司称并未被任何政府机构告知过该类调查——没有人这样说过。而鉴于超微公司在这件事中的关联,以及该类调查的惯常手法,这应该是真的。
根据报道,彭博社的调查始于 2015 年下半年军方举办的一场关于网络安全的非正式闭门会议,会议邀请了科技行业的主要管理层和投资者,举办地点位于 McLean,靠近 CIA 总部。彭博社报道的核心内容,即美国情报机构对中国使用恶意芯片渗透美国企业所进行的调查,很可能最早就是在这场会议上透露给彭博社记者的。在随后彭博社进行的调查中,他们找到了十四名线人(我们知道其中有两名亚马逊员工、三名苹果员工、六名情报官员以及其他六名关联人士)试图从各个方面证实并补充这次调查。基于彭博社的新闻操守,我们可以相信这十四名线人的身份真实性,但没有一人实际参与调查或者决策,他们所能获得的信息可靠性存疑。同时,事件的起源,即那次闭门会议是在时任总统奥巴马和中国签订网络安全协议后不久召开,而信息安全威胁的缓和以及随之导致的相关情报机构的预算消减会不会使得相关人员有动机去误导彭博社的记者?
然而彭博是一家拥有悠久声望的财经新闻社,其内部以对错误的零容忍政策闻名,她有 2000 人的记者团队,多层编辑审核,其内部的法律审查绝不会比这几家科技公司更为松懈。作为一家能够左右金融市场的新闻机构,她对这篇文章进行了长达两年的调查和撰稿,很难相信会去发布一篇有明显纰漏的报道。另一方面,亚马逊和苹果公司一反常态进行了坚决否认,彻底断送了事件被证实后逃避投资者诉讼的可能性。无论哪方偏离了事实,所产生的后果都会是十分巨大的。"
