解放军「米粒晶片」植入伺服器主机板 苹果亚马逊等企业遭骇
彭博商业周刊(Bloomberg Businessweek)调查发现,中国骇客2015年对美国企业发动目前已知最重大的供应链攻击,包括亚马逊、苹果等大企业都受害,原因在于这些公司的资料中心伺服器主机板,从生产时就已经被植入微晶片。
除了亚马逊公司(Amazon.com Inc.)和苹果公司(Apple Inc.)外,还有近30家公司遭攻击,其中包括一家大型银行和多家美国政府包商。
美国官员表示,骇客的目标是挖掘敏感的公司交易机密,以及政府包商电脑网路所储存的国家安全资料,入侵行动来自中国人民解放军在伺服器制造过程中植入的微晶片。美方机关追踪这些晶片,一路查到为超微电脑公司(Super Micro Computer Inc.)生产主机板的数家转包工厂。
总部位于加州圣荷西(San Jose)的超微电脑创立于1993年,和中国包商合作密切,2015年时已在全球100国拥有逾900家客户,成为入侵大量敏感目标的管道。
早在美国企业发现骇客攻击的证据前,美方情报来源就曾提报,中国间谍计划将恶意微晶片引入供应链。美国官员2014年上半年向白宫报告调查发现的突破—中国军方准备在超微电脑销往美国的主机板插入晶片。
亚马逊2015年无意间发现伺服器遭骇。代表亚马逊进行测试的人员发现一片极小的微晶片,比一颗米粒大不了多少,而且并非伺服器原始设计的一部分。
亚马逊的资安团队还发现,旗下云端服务平台亚马逊网路服务(Amazon Web Services)在中国境内的伺服器主机板遭改装。苹果同年也在公司网络内发现被人加装的晶片。
亚马逊、苹果和超微电脑对彭博商业周刊的报导摘要提出质疑。不过该周刊表示,采访历时一年多,进行逾100次的访谈,共有17人证实,超微电脑的硬体被人动手脚,另有其他地方也遭攻击。
在超微电脑伺服器中发现的晶片,被人用机器焊接在主机板上联接基板管理控制器的汇流排。基板管理控制器为系统创造一个故意的后门,让管理员可从远端登入伺服器,甚至是已当机或关闭的伺服器。
让晶片连结到基板管理控制器,可让攻击者进行两项重要工作,一是和网路上的不明电脑进行背景连线通讯(phoning home),二是直接对作业系统的内核程式输入少许指令内容,然后修改内核程式,使其接受进一步的更改,透过植入的晶片,骇客可渗入伺服器中受到最周延保护的程式码,欺骗作业系统,以为晶片所下达的一切指令都经过授权。
一般伺服器会安排一处未受病毒攻击的储存区域,以供未来探测目标网络。因为资料中心拥有数以千计的相同伺服器,骇客只要在其中一台设置据点,就能假设未来可以进行长期探查任务,扫描目标网络的配置情况,然后将资料传回骇客大本营,被抓的风险却不高。
骇客的终极目标是找到网路路由器、开关、能进入网络保护区的伺服器等具较高价值的目标。
熟知美国政府调查进展的消息人士表示,超微电脑硬体所遭到的攻击情况显示,中国政府允许间谍渗透位于其本土的工厂,改装输往美国或其他国家的电脑硬体。