一场中美贸易战还没消停片刻,美国又变更策略,新开了一场中美网络战——当上周四,外媒彭博社声称中国利用微型芯片渗透到30家美国大型公司之后,由于原文《The Big Hack: How China Used a Tiny Chip to Infiltrate U.S. Companies》太过冗长,我们先挑重点吃一下这个国庆期间的瓜:
这事儿要从2015年说起,亚马逊为了展开一次潜在收购,对压缩海量视频的初创公司Elemental Technologies进行了安全调查,发现后者使用的服务器是超微组装的,进而在主板上发现了微型恶意芯片。
过程如下:
然后亚马逊就跟美国安全部门报告了。事态严重,因此展开了长达三年的绝密调查,继而锁定了中国分包商的工厂。彭博社还称整个事件有相关17人站出来证实超微的硬件存在恶意芯片问题,由于事件的敏感性,其中很多人要求对其身份进行保密(划圈)。
然后得出结论:中国间谍利用美国超微电脑股份有限公司(SMCI,以下简称超微)提供的服务器硬件组件(内含中国分包商安装的微型恶芯片)直接或间接黑进了至少30家大型美国公司的服务器,公司包括了一家大型银行,政府承包商还有苹果等,涉及政府机构包括国防部,美国海军,国土安全局,美国国家航空航天局以及美国国会等,不过文章没说超微的所有计算机都安装了恶意芯片。而安装微型芯片的组件能接管服务器并重写系统软件,允许黑客在任何包含改装机器的网络上建立后门程序。
然后主要相关企业纷纷站了出来:
AWS:文章漏洞百出。我们没发现恶意芯片,也没跟相关部门报告过你说的调查。想正常了解情况,你还不配合!
苹果:此瓜来源不明,慎食。总而言之,我们特别安全。
美国超微:我不是,我没有。宝宝最委屈……
美国国土安全局:别慌,我相信大家!
关于亚马逊:
亚马逊官方发布通告,首席信息安全官Steve Schmidt直接站出来表示,当初对Elemental的调查属于尽职调查,也确实委托过一家,且仅一家外部安全公司进行安全评估,可报告里除了一些建议修复区域,没发现啥恶意植入芯片。亚马逊也在收购完成之前修复了所有关键问题。那么问题来了,我们没给彭博社看过这份安全报告,并且它也拒绝与我们分享任何其他报告的细节,这份报告哪儿来的?
彭博社的文章里还提到亚马逊在了解Elemental服务器中的硬件篡改和恶意芯片问题之后,对超微的主板进行了全网审计,并在北京的数据中心发现了恶意芯片,所以才“壮士扼腕”,通过把亚马逊通技术服务(北京)有限公司基于 AWS 云服务的特定经营性资产(包括不限于服务器等 IT 设备)卖给光环新网来摆脱超微。
对于这个说法,亚马逊表示从未在任何数据中心的服务器里找到过这种恶意芯片。并且自从亚马逊业务在中国推出以来,光环新网一直在运营这些数据中心,他们从一开始就拥有这些数据中心,亚马逊“出售”的硬件是为了遵守中国法律法规。
再加上,亚马逊在供应链中采用了严格的安全标准,在投入生产之前就会调查所有的硬件和软件,并在内部与供应链合作伙伴进行定期安全审核。还通过为处理器,服务器,存储系统和网络设备等关键组件实行自己的硬件设计来进一步强化自身安全性。
关于苹果:
彭博社在文章里曾提及苹果发现恶意芯片因此换掉了7000台超微的服务器,然后苹果在周五表示那是恶意软件问题,已经解决了。绝不是彭博社报道的大规模硬件篡改。
据路透社报道,苹果信息安全副总裁,George Stathakopoulos已经给美国参议院和众议院商业委员会写信表示没发现过报告里说的恶意芯片和漏洞。而苹果的专用安全工具也不是吃素的,一直在扫描那些存在恶意软件的出站流量,结果是啥都没找到。
苹果近期退休的法律总顾问,Bruce Sewell则向路透社表示,早在去年听到彭博社报道超微服务器植入恶意芯片事件时,他就和当时的FBI法律总顾问James Baker打了电话,对方回应说,“我从来没有听说过这个,但请给我24小时确认。”24小时后电话回复称,没人知道这事的所谓内幕。
关于超微:
超微也已经否认了这套说辞。且不说真假,我想超微都算是被这篇文章害的最惨的一个了,截至周五,退市的超微股价已经下跌了近50%,推特账号都被封掉了,搞得还挺严肃……
吃瓜看法:
这种神操作的入侵方式和规模,除非黑客犯下了一些重大错误,否则几乎不可能被发现,也阻止不了……文章略显浮夸。
文章重点强调了外包是罪魁祸首,称目前特朗普政府已将包括主板在内的计算机和网络硬件作为其对中国最新一轮贸易战焦点,并且美国官员指出多年来他们不止一次的告知这些美国公司不要将技术供应链转移到其他国家,就是不听,看看后果多严重……(已经有点相信这是贸易战的新形式了)
目前产生的结果:
彭博商业周刊发布后,即便联想集团声明自己不用超微的产品,股价也下跌了超过15%。中兴通讯股价下跌了11%。亚马逊与苹果的股价也略有下滑。顿时觉得,这篇文章给美国大型科技公司造成的极大恐慌,后者也可能重新考虑是否在中国开展外包业务。对美国政府而言,效果还是立竿见影的。