最新 | 彭博社公布 中国秘密植入后门芯片的最新证据

      安全专家Yossi Appleboum透露，今年8月他应一家美国主要电信公司的要求，检测来自Supermicro （超微）服务器的异常通信，并在检测过程中，发现以太网连接器中植入的异常组件并将其移除。美国主要有四大通信公司占据主导地位，分别是Verizon，At&t，Sprint和T-mobile。不过，报导没有提供这家被侵入的大型通讯公司的名字，因为Appleboum与他们签有保密协议。

      彭博社称，这是“中国篡改发往美国的关键科技零组件的新证据” ，表示中国黑客继续不断地透过关键的技术组件骇入美企，以及美国政府部门。

（图片人物：Yossi Appleboum）

      Appleboum 曾在以色列国防部技术部门工作，现任美国马里兰州盖瑟斯堡 Sepio Systems 首席执行官，他的公司专注于硬件安全、并受雇用侦查检测美国电信公司的几个大型数据中心。Sepio Systems的董事会成员包括以色列国防机构以色列摩萨德的前任主席Tamir Pardo，其顾问委员会包括美国中央情报局前首席信息安全官Robert Bigman。

      Appleboum提供了文件、分析和相关发现的其他证据，详细说明了中国情报官员如何在2013到2015年两年里要求Super Micro在其生产的服务器主板中放置恶意芯片。在这些主板被提供给美国政府和公司之后，可以向中国偷偷传输信息。

      Appleboum还称不仅Supermicro，在其他供应商的计算机硬件上也看到类似的纂改，这些硬件都是中国承包商生产的，“Supermicro是受害者，其他美国企业也是如此”。

“这是中国供应链的问题”

      Appleboum 分析，这家美国电信公司的服务器在中国制造工厂被窜改，美国情报局判断是在中国广州的 Supermicro 分包商处制造，距离有中国“硬件硅谷”之称的深圳很近，腾讯和华为等中国科技巨头总部也在这。据了解，该电信公司设有大量的 Supermicro服务器，技术人员无法完全找出哪种数据正通过受感染的服务器传输。目前还不知道 FBI 是否接收到该公司的通报。

硬件植入是非常高端的间谍技术

      彭博社报道中表示，间谍硬件的嵌入非常难检测出来，这就是美国情报机构投入数十亿美元进行破坏式检查的原因。据美国前中央情报局员工Edward Snowden透露，众所周知，美国拥有世界一流的间谍技术，可以根据需要向外国出口的设备中植入间谍设施。但中国似乎正利用对全球电子产品制造供应链的控制，积极发展自己的间谍技术。

      据悉，还有另外三名安全专家分析了美国国防部提供的“外国硬件植入物”，证实了Sepio软件检测植入间谍芯片的方式是合理的。他们认为，识别可疑硬件的几种方法之一是查看最低级别的网络流量。这些不仅包括正常的网络传输，还包括模拟信号——例如功耗，它可以指示是否存在隐藏的硬件。

      就这家电信公司而言，Sepio的技术检测到被篡改的Super Micro服务器实际上作为两个设备出现在网络中。合法服务器正在以一种方式进行通信，“另一台”则用另一种方式，但所有流量似乎都来自同一个可信服务器，这使得它可以通过安全防火墙。

      Appleboum表示，硬件植入的一个关键标志是，其操纵的以太网连接器有金属侧面而不是通常的塑料侧面。金属是内部隐藏芯片散热所必需的，这就像一台迷你电脑。 “该模块看起来非常人畜无害、高质量和'原创'，但它被植入进来，并成为了供应链攻击的一部分，”

      硬件植入的目标是在敏感网络中建立一个隐蔽的临时区域，这就是Appleboum和他的团队在这种情况下得出的结论。他们认为这是一个严重的安全漏洞，同时还在网络上检测到多个流氓电子组件，并在8月向客户的安全团队发出警报，然后将其移除进行分析。一旦识别出植入物并移除了服务器，Sepio的团队就无法对芯片进行进一步的分析。

      2016年时任国家情报局局长办公室首席网络官的Sean Kanuck（现在是华盛顿国际战略研究所未来冲突和网络安全主管）说，来自硬件植入物的威胁“非常真实”。硬件植入可以为攻击者提供软件所没有的能力。

      Kanuck表示，忽视这一隐忧，就是忽视了一个潜在的严重问题，有能力的网络设备制造参与者，就像中国的情报和安全服务部门一样，可以在多个点上访问IT供应链，从而造成先行和持久性的破坏。

      Appleboum说，任何成功的硬件攻击，关键之一就是让那些组件拥有充足电源，这对于主板走线来说是一个艰巨的挑战。这就是为什么像键盘和鼠标这样的外围设备也是情报机构长期以来监控的目标。

这一次操作与上周彭博商业周刊报道中描述的操作不同，但它具有以下主要特征：

• 它们都旨在让攻击者无法访问安装服务器的计算机网络上的数据;

• 由于主板是由中国的Supermicro分包商生产的，因此发现工厂已经进行了改造。

各方回应

• 美国四大电信公司

AT＆T公司发言人Fletcher Cook说：“这些设备不属于我们的网络，我们也不会受到影响。”

Verizon Communications Inc.发言人表示“我们没有受到影响。”

Sprint女发言人Lisa Belot说，“Sprint没有在我们的网络中部署Supermicro设备，”

 T-Mobile美国公司没有回应置评请求。

• Super Micro

发表声明：

      客户的安全和产品的完整性是业务和公司价值观的核心。重视在整个制造过程中确保产品的完整性，供应链安全性是我们行业讨论的重要话题。我们仍然不知道存在任何未经授权的组件，且未有任何客户通知发现此类组件。遗憾的是， 彭博只向我们提供了有限的信息，没有文件，且只给半天时间来响应这些新的指控。

      （彭博社于东部时间周一上午9点23分首次联系Supermicro对此故事发表评论，并给予该公司24小时回复。）

      Supermicro股价上周四暴跌41％，这是继彭博商业周刊披露有关被黑客入侵的服务器之后，自2007年成为上市公司以来的最大跌幅。在最新报道之后，周二他们下跌了27％。

• 挪威国家安全局

      为回应彭博商业周刊的故事，挪威国家安全局上周表示，自6月以来，它一直“意识到”与Supermicro产品有关的问题。该机构的一份声明说，它无法确认彭博的报道细节，但最近一直在与合作伙伴就此问题进行对话。

• 中国驻华盛顿大使馆

      中国驻华盛顿大使馆周一没有回复置评请求。针对早前彭博商业周刊的调查，中国外交部没有直接解决有关操纵Supermicro服务器的问题，但表示供应链安全是“共同关注的问题，中国也是受害者”。

      在彭博社报道中国微型芯片对Supermicro产品的攻击之后，安全专家表示，世界各地的团队，从大型银行和云计算提供商到小型研究实验室和初创公司，正在分析他们的服务器以及正在修改其他硬件。因为硬件操作通常旨在获取政府和公司机密，而不是消费者数据，所以他们的研究结果不一定会被公开。

文章来源：看雪学院

参考来源：

• bloomberg

• EET