彭博社聲稱找到中國間諜晶片的新證據?知情人士直接打臉! | 半導體行業觀察
來源:內容由 微信公眾號 半導體行業觀察 (ID:icbank) 綜合自鉅亨網和介面,謝謝。
《彭博商業週刊》上週四(4 日) 揭露「陸晶片攻擊美企」的調查後,昨(9) 日再度披露Super Micro 產品植入硬體攻擊的新事證,有別於上週報導大量引述不具名訊息人士,這次具名的訊息來源增添了該報導的可信度。
《彭博社》昨日報導指出,《彭博商業週刊》上週四(4 日) 披露中國間諜透過供應鏈組裝優勢,植入微型晶片竊取美國企業商業機密與存取政府網路過後,美國電信資安專家Yossi Appleboum 向該媒體提供類似的檔案、分析與其他證據。
Appleboum 曾在以色列國防部技術部門工作,現任美國馬里蘭州蓋瑟斯堡Sepio Systems 執行長,他的公司專注於硬體安全、並受僱用偵查檢測美國電信公司的幾個大型資料中心。
Appleboum 向《彭博社》爆料,今年8 月他在一家美國電信公司的網路裝置中也發現並移除 Super Micro 產品植入的異常硬體元件。當時他應一家電信公司客戶的要求,檢測來自Super Micro 伺服器的異常通訊,並在檢測過程中,發現乙太網聯結器中植入的異常元件。但基於保密協議,Appleboum 無法洩露此客戶名。
更令人詫異的是,Appleboum 稱不僅僅是Super Micro 的產品,他也曾在無數中國承包的各式電腦硬體上,發現類似的硬體攻擊事件。
Appleboum 稱,SuperMicro 是受害者,而且所有其他美企亦是如此。中國的供應鏈能在製造過程中透過各式方法對產品植入元件進行竄改,但要查明確切的作案地點實際上是不可行的,這是中國供應鏈的問題。
Appleboum 的說法研判,這家美國電信公司的伺服器在中國製造工廠被竄改,美國情報局判斷是在中國廣州的SuperMicro 分包商處製造。據瞭解,該電信公司設有大量的SuperMicro 伺服器,技術人員無法完全找出哪種資料正通過受感染的伺服器傳輸。目前還不知道FBI 是否接收到該客戶的通報。
《彭博社》於報導中稱,Appleboum 提供的內幕訊息是中國竄改重要科技硬體元件的新證據,表示中國駭客繼續不斷地透過關鍵的技術元件駭入美企,以及美國政府部門。
美國的四大電信公司對此報導迴應如下:AT&T 發言人Fletcher Cook 提到,這些伺服器裝置不屬於我們的網路,我們不會受到影響。Verizon 亦迴應未受影響的宣告,而T-Mobile 和Sprint 截稿前尚未做出任何評論。
有別於上週報導引述不具名人士,這次新事證的訊息來源是具名的,增添了該報導的可信度。
Super Micro 對此釋出宣告表示:客戶安全與產品的完整性是我們公司的業務和價值核心,我們注重在整個製造過程中確保產品的完整性,供應鏈安全性是我們行業討論的重要話題。我們仍然不清楚任何未經授權的元件,並且沒有任何客戶告知已找到這些元件。
受此係列報導拖累,SuperMicro ( SMCI-US )週二股價重挫15.52%,來到每股12.46 美元。
證人:報道完全站不住腳,那只是個耦合器
針對彭博社的間諜晶片報道,彭博社文章中少數幾位實名證人之一——硬體安全專家、Hardware Security Resources公司創始人Joe Fitzpatrick接受資訊保安播客“危險生意”(Risky Business)的採訪,公開了他和彭博社記者Jordan Robertson交流的具體細節。根據他的證詞,彭博社的報道嚴重歪曲了他提供的資訊,整篇稿件“根本站不住腳”。
在介面新聞的報道中,他們提到,Fitzpatrick與彭博社記者Robertson的通訊交流始於去年。起初,記者向Fitzpatrick詢問硬體植入的技術問題,Fitzpatrick通過郵件向記者解釋了相關技術原理及可能的操作方案,但並未提及任何實際應用,事實上這些方案在業內從來沒有落地過。
但令Fitzpatrick震驚的是,彭博社文章中所描述的中國入侵超微公司晶片的手段,竟和他在郵件中向記者介紹的一模一樣。
彭博社報道稱,中國方面通過供應鏈將一種“僅有米粒大小”的間諜晶片植入到超微公司生產的主機板上,藉此在應用該主機板的伺服器上建立後門,並盜取資訊。
“這個操作根本不符合邏輯,”Fitzpatrick說,“要黑進伺服器有很多更容易的辦法,可以通過軟體,可以通過韌體,文中描述的手段理論上可行,但是根本不可能大量使用,我不會這麼幹,我知道的任何人都不會這麼幹。”
事實上,Fitzpatrick曾在郵件中明確告知彭博社記者,這種方案只是一種理論上的可能,缺乏實際可操作性,他還特意提醒記者主機板上的“額外零件”可能只是一個正常配件。記者回複稱,有多個信源表示這個“瘋狂的方案”確實存在,但從頭到尾未給出任何圖片或實物證據。
“假如我描述的一種技術可能真的被實現了,還有十幾個人作證,我也太高瞻遠矚了吧。”Fitzpatrick說。
彭博社報道中被廣泛引起質疑的另一個細節,是所謂的間諜晶片究竟長什麼樣。報道釋出後不久,就有媒體指出,彭博社配圖上的“晶片”實際上只是一個普通的訊號耦合器,一塊錢就能買到。
而Fitzpatrick直接表示,這張“晶片”的圖片,是他提供給記者的。
今年9月,記者Robertson告訴Fitzpatrick,他們已經把目標鎖定到了一種“訊號放大器或耦合器”上,並問Fitzpatrick這種元器件長啥樣,於是Fitzpatrick隨手發了個Mouser Electronics公司生產的耦合器圖片給他。報道釋出後, Fitzpatrick震驚地發現,文中那枚間諜晶片的圖片,正是他發給記者的那一張。
“這種耦合器通常是用在WiFi和LTE上的,不太可能出現在主機板和伺服器上。” Fitzpatrick說。
這就意味著,彭博方面至少從未見過所謂的“間諜晶片”的真容。
這期播客播出前,主持人Patrick Gray專程致電彭博記者Jordan Robertson,請他對Fitzpatrick的指責做出迴應。這位記者很快給出了一個公關味兒十足的回覆:不予評論。
彭博社報道釋出後即便陷入爭議,幾乎所有相關方都堅決予以否認。亞馬遜、蘋果和超微均釋出了言辭激烈、態度明確的公告,蘋果還表示,“彭博在過去一年中多次就此事和我們聯絡,我們每一次都進行了嚴格的內部調查,但從來沒有發現能支援其中任何一個說法的證據”。美國國土安全部(DHS)、英國國家網路安全中心(National Cyber Security Centre)也分別於10月5日與6日發聲,表示並未發現所謂網路攻擊的證據。
美國國家安全域性尚未就此事公開發言,但此次Joe Fitzpatrick發聲後,美國國家安全域性網路安全部門高階顧問Rob Joyce在推特上轉發了這期播客節目,並表示“請大家認真讀DHS和NCSC的公告”。
按照半導體行業觀察朋友圈知名科技博主,某技術專家的說法,彭博的這次報道,是美國內部在散步敵意,技術上來說首先PCB回來如果加入了新的器件肯定會被發現,其次要控制網路那一定會是在網路介面的關鍵路徑上,這種關鍵路徑一般都不會加額外器件,再次如果要實現控制等功能一定是要接入電源,而要在pcb板上硬插入這麼一個還要額外器件基本沒可能(如果是多加一個無源電阻電容倒也還容易些)。
多方訊息證明,彭博社的這次報道是無稽之談。