【译】中国如何利用微型芯片渗透美国公司

10月4日，据全球最大资讯提供商彭博社报道，中国间谍通过攻击破坏美国的技术供应链，使包括亚马逊和苹果在内的近30家美国公司受到攻击。

2015年，亚马逊（Amazon.com Inc.）开始悄悄评估一家名为Elemental Technologies的初创公司，这是一项潜在的收购，旨在帮助其流媒体视频服务的大规模扩张，今天称为亚马逊Prime视频。

Elemental总部位于俄勒冈州波特兰市，制作了用于压缩大量视频文件并为不同设备格式化的软件。它的技术已经帮助把奥运会信息流到网上，与国际空间站通信，以及向中央情报局传送无人驾驶飞机的录像。Elemental的的国家安全合同并不是此次收购计划的主要原因，但它们与亚马逊的政府业务非常吻合，比如亚马逊网络服务（AWS）为中情局构建的高度安全的云。

据熟悉该流程的一位知情人士称，为了协助调查，负责监督此次收购的AWS聘请了第三方公司来审查Elemental的安全性。第一遍发现了一些麻烦的问题，促使AWS更仔细地研究Elemental的主要产品：客户在网络中安装的用于处理视频压缩的昂贵的服务器。这些服务器由Super Micro Computer Inc.为Elemental组装。总部位于圣何塞的公司（俗称Supermicro）也是世界上最大的服务器主板供应商之一，它是玻璃纤维安装的芯片和电容器集群，充当大小数据中心的神经元。据知情人士称，2015年春末，Elemental的工作人员将几台服务器装箱并送往加拿大安大略省，供第三方安全公司进行测试。

在服务器的主板上，测试人员发现了一个不大于一粒大米的微芯片，它不是主板原始设计的一部分。亚马逊向美国当局报告了这一发现，让情报界感到不寒而栗。Elemental的服务器可以在国防部的数据中心、中情局的无人机操作以及海军军舰的机载网络中找到。而Elemental只是数百名Supermicro客户中的一员。

在随后的三年中仍然持续的绝密调查期间，调查人员确定芯片允许攻击者创建进入任何网络的隐形通道，包括被改装的机器。知情人士表示，调查人员发现这些芯片已插入中国制造分包商的工厂。

这种攻击比世界已经习以为常的基于软件的事件更为严重。硬件攻击更难以实现，并且可能更具破坏性，有望实现间谍机构愿意投入数百万美元和多年精力才能获得的那种长期、隐蔽的访问。

间谍有两种改变计算机设备内部的方法。一种被称为阻断的装置，包括在从制造商到客户的运输过程中操纵设备。根据前美国国家安全局承包商爱德华·斯诺登泄露的文件，这种方法受到美国间谍机构的青睐。另一种方法是从一开始就播种变化。

有一个国家在进行这种攻击时特别有优势：中国。据估计，中国制造了世界75%的移动电话和90%的个人电脑。然而，要真正完成种子攻击就意味着要深入理解产品的设计，在工厂里组装零部件，并确保经过修改的设备通过全球物流链到达理想的位置——这一壮举类似于在上海上游的长江上扔木棍，并确保它在西雅图冲上岸。“拥有完备的、国家级的硬件植入方式就像看到一只独角兽跳过彩虹一样。”Joe Grand说，他是硬件黑客，也是Grand Idea Studio Inc.的创始人。 “硬件远不是雷达，它几乎被视为黑魔法。”

但这正是美国调查人员所发现的：两名官员说，这些芯片是在生产过程中由人民解放军的一个部门的特工插入的。在Supermicro公司，中国的间谍似乎找到了一个完美的渠道，美国官员现在称这是对美国公司进行的最重要的供应链攻击。

一位官员说，调查人员发现，它最终影响了几乎30家公司，包括一家大型银行、政府承包商和世界上最有价值的公司——苹果公司。苹果公司三位资深业内人士表示，在2015夏季，它也在Supermicro主板上发现了恶意芯片。第二年，苹果切断了与Supermicro公司的联系，因为它没有说明相关的原因。

各大企业否认

亚马逊（该公司于2015年9月宣布收购Elemental）、苹果和Supermicro公司在电子邮件中声明对彭博商业周刊的报告摘要存在争议。亚马逊写道：“AWS在收购Elemental时对供应链的漏洞、恶意芯片的问题或硬件修改有所了解，这不是事实。”“关于这一点，我们非常清楚：苹果从来没有发现恶意芯片、‘硬件操纵’或有意植入任何服务器的漏洞，”苹果写道。“我们仍然不知道有任何这样的调查，”Supermicro公司的发言人Perry Hayes写道，中国政府没有直接解决有关Supermicro服务器的操纵问题，发布了一份声明，部分内容为“网络空间的供应链安全是共同关心的问题，中国也是受害者。”

这些公司的否认遭到六名现任和前任高级国家安全官员的反对，他们在奥巴马政府期间开始并在特朗普政府领导下继续对话，详细介绍了芯片的发现和政府的调查。其中一名官员和两名在AWS内部的人员提供了关于在Elemental和Amazon发生的袭击事件的广泛信息；该官员和其中一名内部人员还描述了亚马逊与政府调查的合作。除了三名苹果内部人士外，美国六名官员中有四人证实苹果公司是受害者。总共有17人证实了对Supermicro的硬件和其他攻击元素的操纵。由于信息的敏感性，信息来源匿名。

一位政府官员表示，中国的目标是长期获取高价值的公司机密和敏感的政府网络。没有已知的消费者数据被盗。

袭击的后果还在继续上演。特朗普政府已将包括主板在内的计算机和网络硬件作为其对中国最新一轮贸易制裁的焦点，白宫官员已经明确表示，他们认为公司将开始将供应链转移到其他国家。这种转变可能会安抚多年来一直对供应链安全发出警告的官员，尽管他们从未透露他们担心的主要原因。

黑客是如何工作的？（来自美国官员）

袭击的后果还在继续上演。特朗普政府已将包括主板在内的计算机和网络硬件作为其对中国最新一轮贸易制裁的焦点，白宫官员已经明确表示，他们认为公司将开始将供应链转移到其他国家。这种转变可能会安抚多年来一直对供应链安全发出警告的官员，尽管他们从未透露他们担心的主要原因。

黑客是如何工作的？（来自美国官员）

早在2006年，俄勒冈州的三位工程师就有了一个聪明的主意。他们预测移动视频的需求即将激增，广播公司将竭尽全力地将设计成适合电视屏幕的节目转换为在智能手机、笔记本电脑和其他设备上观看所需的各种格式。为了满足预期的需求，工程师们启动了Elemental Technologies，组装了一名公司前顾问称之为天才团队的代码，以适应为高端视频游戏机生产的超高速图形芯片。由此产生的软件大大减少了处理大型视频文件所需的时间。然后Elemental将软件加载到装有妖精绿logo的定制服务器上。

根据该公司一位前顾问的说法，基本服务器每台售价高达10万美元，利润率高达70%。《元素报》早期最大的两个客户是摩门教教会，他们利用该技术向全世界的集会者进行布道，而成人电影业则没有。

Elemental也开始与美国间谍机构合作。2009年，该公司宣布与中情局的投资部门In-Q-Tel公司建立发展合作伙伴关系，该协议为Elemental服务器在美国政府的国家安全任务中的使用铺平了道路。包括该公司自己的宣传材料在内的公开文件显示，这些服务器已经在国防部数据中心内部用于处理无人机和监视摄像机的镜头，用于处理海军军舰用于传输机载任务的馈送，以及政府大楼内部，以实现安全的视频会议。美国国家航空航天局（NASA），国会两院和国土安全部也都是它的客户。这些合作伙伴使Elemental成为外国对手的目标。

Supermicro已经成为构建Elemental服务器的明显选择。公司总部位于圣何塞机场以北，烟雾弥漫的880号州际公路上。公司由台湾工程师Charles Liang创立，他在得克萨斯州读研究生，1993年与妻子一起西迁，创办了Supermicro公司。当时，硅谷正在接受外包，从台湾、后来的中国工厂到美国消费者形成了一条通路，而梁增加了一个令人欣慰的优势：Supermicro的主板主要设计在靠近公司最大客户的圣何塞，即使这些产品是在海外制造的。

如今，Supermicro销售的服务器主板数量几乎超过其他任何人。它还占据了用于特殊用途计算机（从核磁共振成像设备到武器系统）的10亿美元电路板市场。它的主板可以在银行，对冲基金，云计算提供商和网络托管服务等其他地方的定制服务器设置中找到。Supermicro在加利福尼亚州，荷兰和台湾拥有装配设施，但其主板 - 其核心产品 - 几乎全部由中国的承包商制造。

客户对该公司的忠诚度取决于无与伦比的定制，数百名全职工程师和一份包括600多个设计的目录。据六名前雇员说，圣何塞的大多数员工是台湾人或中国人，普通话是首选语言，而白板则用汉字填写。每周都会送上中式糕点，许多例行电话都打两次，一次只打给英语员工，一次用普通话。据两国人士介绍，后者的效率更高。这些海外关系，尤其是普通话的广泛使用，将使中国更容易了解Supermicro的运营，并有可能渗透到该公司。（一位美国官员说，政府仍在调查是否在Supermicro或其他美国公司内部安排了间谍来助攻。）

Supermicro在2015年之前在100个国家拥有900多名客户，为众多敏感目标提供了优势。“将Supermicro视为硬件世界的微软，”一位研究Supermicro及其商业模式的前美国情报官员表示。“攻击Supermicro主板就像攻击Windows一样。这就像攻击整个世界。“

消费者和大多数公司还不知道，全球技术供应链的安全性也受到了损害

早在美国公司内部网络出现攻击证据之前，美国情报部门就报告称，中国的间谍计划将恶意微芯片引入供应链。据一位知情人士透露，消息来源并不具体，每年有数百万台主板被运往美国。但是，在2014年上半年，另一位高层讨论简报的人士说，情报官员带着一些更具体的内容去了白宫：中国军方正准备把芯片插入美国公司的Supermicro母板上。

信息的特殊性非常显着，但它所带来的挑战也是如此。向Supermicro的客户发出广泛的警告可能会使该公司瘫痪，这是一家美国主要的硬件制造商，并且从情报中还不清楚该业务的目标是谁，或者其最终目标是什么。此外，在没有确认任何人受到攻击的情况下，联邦调查局对它的反应有限。知情人士说，白宫要求定期更新信息。

据熟悉时间线的人士透露，苹果在发现一些奇怪的网络活动和固件问题后，于2015年5月左右在Supermicro服务器内发现可疑芯片。两名高级苹果内部人士表示，苹果公司向联邦调查局报告了这一事件，但公司保留了有关其侦测到的被严格控制的细节，甚至在内部。据一位美国官员称，当亚马逊发现并允许他们使用被破坏的硬件时，政府调查人员仍在自己寻找线索。这为情报机构和联邦调查局创造了宝贵的机会，然后由其网络和反情报团队进行全面调查—— 看看芯片是什么样子，以及它们是如何工作的。

一位看到第三方安全承包商为亚马逊公司准备的详细报告的人士和另一位看到这些芯片的数码照片和X光图像（这些照片和X光图像被合并到亚马逊安全小组随后编写的报告中）的人说，Elemental服务器上的芯片设计得尽可能不引人注目，灰色或灰白色，它们看起来更像信号调理耦合器，另一种常见的主板组件，而不是微芯片，因此，如果没有专门的设备，它们不太可能被检测。根据电路板型号，芯片大小略有不同，这表明攻击者向不同的工厂提供了不同批次的芯片。

熟悉调查的官员表示，这些植入物的主要作用是打开其他攻击者可以通过的大门。正如一位前高级官员所说，“硬件攻击是关于访问的”。用简化的术语来说，在Supermicro硬件上的植入物操纵了核心操作指令，这些指令告诉服务器当数据传递到主板上时该做什么，两位熟悉芯片操作的人士说。这发生在关键时刻，因为操作系统的一小部分在传送到服务器中央处理器CPU的路上被存储在板的临时存储器中。将植入物放置在主板上，使其能够有效地编辑该信息队列，注入它自己的代码或改变CPU应遵循的指令的顺序。微小的变化会造成灾难性的后果。

由于植入物很小，它们所包含的代码量也很小。但他们能够做两件非常重要的事情：告诉设备与互联网上其他地方的几台匿名计算机之一进行通信，这些计算机装载了更复杂的代码；并准备设备的操作系统接受这个新代码。恶意芯片可以做到这一切，因为它们连接到基板管理控制器，这是管理员用来远程登录有问题的服务器的一种超级芯片，即使在已经崩溃或关闭的机器上也能访问最敏感的代码。

这个系统可以让攻击者逐行改变设备的运行方式，无论他们想要什么，都不会让任何人变得更聪明。要理解将给予他们的权力，就拿这个假设的例子来说：在许多服务器上运行的Linux操作系统中的某个地方是通过验证存储的加密密码来验证用户的代码。植入的芯片可以改变部分代码，因此服务器不会检查密码！安全机器对任何用户和所有用户都是开放的。芯片还可以窃取加密密钥以进行安全通信，阻止安全攻击的更新，从而消除攻击，并开辟通往互联网的新途径。如果一些异常被注意到，它很可能会被视为一个无法解释的怪事。“硬件可以打开它想要的任何门，”Joe FitzPatrick说，硬件安全资源有限责任公司的创始人，一个硬件黑客技术培训网络安全专业人员。

美国官员之前已经抓住中国在试验硬件篡改，但他们从来没有见过这种规模和野心。即使消费者和大多数公司还不知道，全球技术供应链的安全性也受到了损害。调查人员需要了解的是，攻击者如何彻底渗透到Supermicro的生产过程中——以及他们向美国目标打开了多少扇门。

与基于软件的黑客攻击不同，硬件操作创建了真实的线索。组件留下了运输清单和发票。电路板具有可追溯到特定工厂的序列号。一位知情人士说，为了跟踪损坏的芯片，美国情报机构开始反过来跟踪Supermicro的蛇形供应链。

据一家专门研究供应链的新闻网站DigiTimes称，就在2016年，Supermicro已经有了三家主要制造商在制造主板，两家总部设在台湾，一家在上海。当这些供应商被大订单堵塞时，他们有时会把工作外包给分包商。为了进一步发展，美国的间谍机构利用了他们手中的巨大工具。根据调查中收集的证据简报，他们过滤了通信拦截，窃听了台湾和中国的告密者，甚至通过电话追踪了关键人物。这位知情人士说，最终，他们将恶意芯片追踪到了四家分包厂，这些工厂已经制造了至少两年的Supermicro主板。

当代理商监控中国官员，主板制造商和中间商之间的互动时，他们瞥见了播种过程的运作方式。在某些情况下，工厂经理与声称代表Supermicro或担任暗示与政府有联系的职位的人接洽。中间商会要求更改主板的原始设计，最初会结合其不寻常的要求行贿。如果这不起作用，他们会威胁工厂经理进行检查，以便关闭他们的工厂。一旦安排到位，中间商将组织芯片运送到工厂。

据两名知情人士透露，调查人员得出结论，这个复杂的计划是人民解放军一个专门从事硬件攻击的部门的工作。这个组织的存在以前从未被披露过，但一位官员说，“我们追踪这些人的时间超过我们想承认的时间。”据信，该单位将重点放在高度优先的目标上，包括先进的商业技术和敌对军方的计算机。在以往的攻击中，它针对的是美国大型互联网提供商的高性能计算机芯片和计算系统的设计。

在《商业周刊》报道的详细内容中，中国外交部发表声明称“中国是网络安全的坚决捍卫者”。商务部还说，2011年，中国与上海合作组织的其他成员一起提出了硬件安全的国际保证。声明的结论是：“我们希望各方减少无谓的指控和怀疑，但要进行更具建设性的谈话与合作，以便我们能够共同努力，建立一个和平、安全、开放、合作和有序的网络空间。”

Supermicro的攻击完全来自于早期的PLA事件。它威胁到了各种各样的终端用户，其中包括一些重要用户。就其本身而言，苹果公司多年来一直在其数据中心使用Supermicro硬件，但这种关系在2013年之后更急密切了，当时苹果公司收购了一家名为Topsy Labs的初创公司，该公司创建了用于索引和搜索大量互联网内容的超高速技术。到2014年，该创业公司开始在全球主要城市或附近建设小型数据中心。据三位资深苹果内部人士透露，这个项目在内部称为Ledbelly，旨在使Apple的语音助手Siri的搜索功能更快。

《商业周刊》中看到的文件显示，在2014，苹果计划订购超过6000台超微型服务器，用于安装在17个地点，包括阿姆斯特丹、芝加哥、香港、洛杉矶、纽约、圣何塞、新加坡和东京，再加上现有的北卡罗莱纳和俄勒冈数据中心的4000台服务器。到2015年，这些订单应该翻一番，达到20000。Ledbelly让苹果成为Supermicro的重要客户，与此同时，PLA被发现操纵供应商的硬件。

项目延误和早期性能问题意味着，当苹果公司的安全团队发现增加的芯片时，大约有7,000台Supermicro服务器在Apple的网络中嗡嗡作响。据一位美国官员称，因为苹果没有向政府调查人员提供进入其设施或被篡改硬件的途径，所以攻击的程度他们仍然看不到。

美国调查人员最终发现了还有其他人受到了攻击。由于植入的芯片设计用于ping互联网上的匿名计算机以获得进一步指示，因此操作人员可以破解这些计算机以找到其他受影响的计算机。虽然调查人员无法确定他们是否找到了所有受害者，但熟悉美国调查的人士表示，他们最终得出结论，近30家公司受到攻击。

这就面临要通知谁以及如何通知的问题。多年来，美国官员一直警告称，两家中国电信巨头华为公司和中兴通讯公司制造的硬件受中国政府操纵（华为和中兴通讯都表示没有发生过此类篡改行为）。但对于一家美国公司而言，类似的公开警报是不可能的。相反，官员们联系了少数重要的Supermicro客户。一家大型网络托管公司的一位高管表示，他从交易所收到的消息很明确：Supermicro的硬件无法信任。“这是每个人都能得到的废话。”这位人士说。

就亚马逊而言，它开始与一家Elemental的竞争对手进行收购谈判，但据一位熟悉亚马逊审议情况的人士透露，在得知Elemental的董事会即将与另一家买家达成协议后，该公司在2015年夏天改弦易辙。亚马逊在2015年9月宣布收购Elemental，据一位知情人士透露，收购金额为3.5亿美元。多家消息来源称，亚马逊打算将Elemental的软件转移到AWS的云端，其芯片、主板和服务器通常是内部设计，由亚马逊直接承包的工厂制造。

据两位了解AWS在中国运营的人士称，一个值得注意的例外是AWS在中国境内的数据中心，其中充满了Supermicro构建的服务器。考虑到Elemental的调查结果，亚马逊的安全团队对AWS的北京设施进行了自己的调查，并在那里发现了改进的主板，包括比以前遇到的更复杂的设计。据一位看过芯片图片的人说，恶意芯片足够薄，以至于它们嵌入在其他组件所附着的玻璃纤维层之间。该人说，那一代芯片比削尖的铅笔尖小。（亚马逊否认AWS知道在中国发现含有恶意芯片的服务器）长期以来，中国一直以自己的方式监控银行，制造商和普通公民，AWS中国云的主要客户是在中国运营的国内公司或外国实体。尽管如此，中国似乎正在亚马逊的云中开展这些业务，这给该公司带来了一个棘手的问题。据熟悉该公司调查的人士透露，其安全团队认为，很难悄悄地拆除这些设备，即使他们能想出办法，这样做也会提醒攻击者已经找到了芯片。相反，该团队开发了一种监控芯片的方法。在接下来的几个月里，他们发现了攻击者与被破坏的服务器之间的简短登入通信，但没有看到任何删除数据的企图。这可能意味着攻击者正在为以后的操作保存芯片，或者在监控开始之前他们已经渗透到网络的其他部分。这两种可能性都令人不安。

据知情人士透露，在2016年，中国政府即将通过一项新的网络安全法，该法律被国外许多人视为借口，使当局能够更广泛地获取敏感数据——亚马逊决定采取行动。今年8月，它将其北京数据中心的运营控制权移交给当地合作伙伴北京新网，该公司表示，此举需要遵守即将出台的法律。接下来的11月，亚马逊以约3亿美元的价格将整个基础设施出售给北京新网。熟悉亚马逊调查的知情人士将此次销售视为一种选择，“将患病的肢体砍掉”。

至于苹果，三位资深内部人士之一说，在2015年夏天，在发现恶意芯片几周后，苹果公司开始从其数据中心移除所有Supermicro服务器，苹果公司内部称这一过程为“归零”。这位资深内幕人士表示，大约7,000台左右Supermicro服务器，在几周内就被更换了。”（苹果公司否认任何服务器被删除）2016年，苹果公司告知Supermicro它完全切断了他们之间的关系——苹果公司发言人在回答《商业周刊》的问题时将此事归咎于一起无关且相对轻微的安全事件。

那年八月，Supermicro的首席执行官梁透露，该公司失去了两个主要客户。虽然他没有说出名字，但后来在新闻报道中将其中一个认定为Apple。他把原因归咎于竞争，但他的解释含糊不清。“当客户要求降低价格时，我们的员工反应不够迅速，”他在与分析师的电话会议上表示。Supermicro发言人Hayes表示，该公司从未被客户或美国执法部门通知其主板上存在恶意芯片。

随着2015年恶意芯片的发现和正在展开的调查，Supermicro一直受到会计问题的困扰，该公司将其定义为与某些收入确认时间相关的问题。在错过了监管部门要求提交季度和年度报告的两个截止日期之后，Supermicro于今年8月23日从纳斯达克退市。对于一家年收入在过去四年中急剧上升的公司（从2014年的15亿美元到今年预计的32亿美元）来说，这是一个非同寻常的挫折。

2015年9月下旬的一个星期五，美国总统巴拉克·奥巴马和中国国家主席习近平在白宫举行了长达一个小时的新闻发布会，标题是一项具有里程碑意义的网络安全协议。经过数月的谈判，美国从中国取得了一个宏伟的承诺：中国将不再支持黑客窃取美国知识产权以造福中国公司。据熟悉美国政府高级官员讨论的一位知情人士透露，白宫对中国愿意提供这种让步的深切担忧是因为它已经开发出了更先进、更秘密的黑客攻击形式。它几乎垄断了技术供应链。

协议宣布后的几周内，美国政府在五角大楼组织的一场小型邀请式会议中，悄悄地向几十位技术高管和投资者发出警告。据在场的人士介绍，国防部官员向技术人员介绍了最近发生的一次攻击，并要求他们考虑创造可以检测硬件植入物的商业产品。该人士说，与会者没有被告知所涉及的硬件制造商的名称，但至少房间里的一些人明白它是Supermicro。

正在热议的问题不仅仅是技术问题。它涉及到几十年前决定将先进的生产工作送到东南亚。在此期间，低成本的中国制造业已经成为许多美国最大的科技公司的商业模式的基础。例如，早期，苹果公司在国内制造了许多最尖端的电子产品。然后在1992年，它关闭了位于加利福尼亚州弗里蒙特的一家最先进的主板和计算机组装工厂，并将大部分工作交给了海外。

几十年来，尽管西方官员一再警告，但供应链的安全性成为了一种信念。这种信念形成了中国不太可能让间谍干涉其工厂，从而破坏其世界工厂的地位。这就决定了在何处建立商业系统主要取决于容量最大和最便宜的地方。“你最终得到了经典的撒旦交易，”一位前美国官员说。“你可以得到比你想要的更少的回报，并保证它是安全的，或者你可以得到你需要的回报，但是会有风险。”每个组织都接受了第二个方案。

自麦克莱恩简报会召开以来的三年中，没有任何商业上可行的方法可以检测出很可能出现的像Supermicro主板上的攻击事件。很少有公司拥有苹果和亚马逊的资源，即使他们发现问题也需要一些运气。“这些材料处于最前沿，而且没有简单的技术解决方案，”麦克莱恩的一位知情人士说。“你必须投资于世界所需要的东西。你不能投资于世界尚未准备接受的事物。“

彭博社一直是Supermicro的客户。根据彭博社发言人的说法，该公司没有发现任何证据表明它受到文章中提出的硬件问题的影响。

本文由白帽汇翻译自彭博社，转载请注明 来自白帽汇Nosec：https://nosec.org/home/detail/1873.html

如看原文可查看英文原版，查看更多安全动态，请访问nosec.org