Friday, 5 October 2018

立场新闻 | 彭博:國產底板被解放軍植入惡意晶片


圖片素材來源:bloomberg網站截圖、bloomberg雜誌封面


《彭博商業周刊》今日發表長篇報道,揭發中國解放軍將一粒只有白米般細小的惡意晶片,植入國內生產的伺服器底板內。這些底板之後供應予美國伺服器底板龍頭Supermicro,銷售至世界各地。全球最少30間企業受影響,包括科技巨擘如蘋果及亞馬遜。涉事廠商的伺服器亦被廣泛用於美國中央情報局(CIA)、國際太空站、美國海軍等敏感單位。

美國國防部、CIA均用Elemental伺服器

一間名為Elemental Technologies的初創公司,早年成功研發一項軟件技術,可以有效壓縮龐大的影片檔案,並將影片格式化供不同裝置播放。Elemental的技術已被廣泛應用:由網上播放的奧運賽事,到與國際太空站的交流等,都是涉及該技術。

在2015年亞馬遜看中了這項技術,因此計劃收購Elemental,用來幫助公司發展視頻業務。一名消息人士指,在收購前的盡職調查中,Elemental的主要產品、用來壓縮影片的伺服器被發現有問題。這些伺服器是由全球最大的伺服器底板供應商、總部設於加州的Supermicro負責組裝。

經過進一步檢查,調查人員發現一粒細小如白米的微型晶片,被裝嵌於伺服器底板上,而晶片並不屬於底板原本的設計。亞馬遜得知情況後,立即向美國政府當局通報情況。報道指Elemental的伺服器廣泛用於美國國防部數據中心、CIA無人機操作,以及海軍戰艦網絡。而Elemental只是Supermicro數以百計的客戶之一。

Supermicro如硬件界的「微軟」

涉事的Supermicro可以說是伺服器底板市場的「大哥大」,銷售底板數量幾乎冠絕市場。根據2015年的數據,其客戶遍布全球100個國家。一名前美國情報官員形容,Supermicro就有如硬件界的「微軟」,攻擊Supermicro底板就如是攻擊Windows,「這有如是攻擊全世界」。

美國當局隨即展開秘密調查,並證實這晶片可以打開一道隱形門,容許黑客入侵網絡內。報道引述多名知情者指,調查人員追溯源頭後發現,這些晶片是由位於中國的外判工廠裝嵌。

一名匿名美國官員透露,調查人員發現這些微型晶片影響近30間企業,當中包括大型銀行以及蘋果公司。蘋果是Supermicro的重要客戶,曾訂購大量伺服器。有蘋果的資深內部人士透露,公司在2015年夏季發現有問題的晶片,並在翌年中止與Supermicro的合作,但中止合作的原因與晶片無關。

蘋果否認受害

多間涉事的科技公司,在回覆傳媒查詢時,均拒絕承認曾發現晶片問題。2015年9月正式收購Elemental的亞馬遜,在最新的聲明中否認報道的說法,指在當年收購時並無發現晶片問題;蘋果則聲稱,從沒發現有伺服器被植入惡意晶片;Supermicro發言人亦指沒有意識到任何相關調查。

中國政府沒有正面回應質疑,但就指「網絡空間供應鏈安全是一個共同關注的問題,中國也是受害者」。美國聯邦調查局、國家情報總監均拒絕評論。

各科技企業的說法,明顯與《彭博商業周刊》的消息人士矛盾。報道引述17名消息人士,全部證實Supermicro硬件存有問題,當中6名現任或前任國家安全官員都證實當局曾調查晶片問題。有官員及亞馬遜內部人士證實,亞馬遜有份協助調查。有6名美國官員及3位蘋果內部人士證實,蘋果公司是受害者之一。

計劃由解放軍旗下單位負責

Supermicro在加州、荷蘭及台灣都設有裝嵌工場,但底板幾乎全部由中國的承包商製造。究竟中國政府是如何將晶片放入底板內?

報道引述知情人士透露,美國間諜機構利用截聽、蒐集線人情報、以手機追踪關鍵人物等手段,成功追溯到中國國內四間承包廠商有份植入惡意晶片。而這些工廠建造Supermicro底板已有最少兩年。

美國間諜監控了中國官員、底板製造商及中間人之間的互動。他們發現事件中往往有中間人自稱是Supermicro代表,又或是與中國政府有聯繫,與工廠經理接洽並要求更改底板設計,期間會提供賄賂。如果工廠經理經理不服從命令,就會被威脅會遭受「檢查」,足令工廠倒閉。一旦安排好細節後,這位中間人就會將惡意晶片交予工廠進行裝嵌。

兩名知情者指,調查人員得出的結論是,整個錯綜複雜的計劃是由中國解放軍旗下一個專門從事硬件攻擊的單位負責。這個單位之前一直未有被披露,其目標相信是包括其他國家軍方的高級技術和電腦系統。

from 中国数字时代 https://chinadigitaltimes.net/chinese/2018/10/%e7%ab%8b%e5%9c%ba%e6%96%b0%e9%97%bb-%e5%bd%ad%e5%8d%9a%ef%bc%9a%e5%9c%8b%e7%94%a2%e5%ba%95%e6%9d%bf%e8%a2%ab%e8%a7%a3%e6%94%be%e8%bb%8d%e6%a4%8d%e5%85%a5%e6%83%a1%e6%84%8f%e6%99%b6%e7%89%87%e3%80%80/