漫长的黑客:中国如何利用美国的技术供应商
乔丹·罗伯逊和迈克尔·赖利- 2021年2月12日上午5:00
多年来,美国调查人员发现中共对其生产的 #超微 (Super Micro Computer Inc.)产品进行了篡改。该公司表示,从未被告知。公众也不知情。
2010年,美国国防部发现数千台计算机服务器向中共军事网络发送数据,这是隐藏在计算机启动过程处理芯片中的代码使然。
2014年,英特尔公司发现一个中共精英黑客组织通过从供应商一台服务器的更新站点下载恶意软件,而破坏了其网络。
2015年,联邦调查局警告多家公司,中共操作人员在一个制造商的服务器中隐藏了一个额外的芯片,里面装有后门代码。
这些不同的攻击都有两个共同点: #中共国 和加利福尼亚州圣何塞的计算机硬件制造商超微计算机公司。它们还有另一个特点:美国间谍专家发现了这种操纵,但在试图进一步了解中共国对付每个操纵对象的能力后,又很大程度上三缄其口。
据熟悉此事的14名前执法和情报官员称,在过去十年的大部分时间里,#中共国 对这家闻名美国的公司超微制造的产品采购一直受到联邦政府的审查。其中五名官员说,这包括联邦调查局(FBI)于2012年左右开始的反情报调查,当时代理商开始使用根据《外国情报监视法》( #FISA )获得的逮捕令,监视一小群超微工人的通信等。
该调查是否继续进行尚不清楚,也无法充分说明其发现。但据两名从事这项工作的安全公司顾问说,直到2018年,FBI才邀请私营部门帮助分析包含添加芯片的超微设备。
FBI前高级官员杰伊·塔布(Jay Tabb)表示,#Supermicro 传奇表明在全球供应链中存在广泛的风险,他同意就中共对公司产品的干预一概而论。
据熟悉此事的14名前执法和情报官员称,在过去十年的大部分时间里,中国对这家美国公司闻名的美国超微制造的产品的开采一直受到联邦政府的审查。其中五名官员说,这包括联邦调查局(FBI)于2012年左右开始的反情报调查,当时代理商开始使用根据《外国情报监视法》(FISA)获得的逮捕令,监视一小群超微工人的通信。
该调查是否继续进行尚不清楚,也无法充分说明其发现。但据两名从事这项工作的安全公司的顾问说,直到2018年,FBI才邀请私营部门帮助分析包含添加芯片的Supermicro设备。
FBI前高级官员杰伊·塔布(Jay Tabb)表示,Supermicro传奇表明在全球供应链中存在广泛的风险,他同意就中国对公司产品的干预一概而论。
塔布说:“ Supermicro很好地说明了美国公司对他们选择在中国制造的任何产品进行潜在的恶意篡改的可能性,”塔布说。塔布从2018年开始担任联邦调查局国家安全部门执行助理主任,直到1月退休。 2020年。“如果您没有对设备制造地的全面监督,这就是最坏情况的一个例子。”
Tabb拒绝透露FBI调查的细节。他说:“中国政府这样做已经很长时间了,公司需要意识到中国正在这样做。” “特别是硅谷需要退出,假装这没有发生。”
Supermicro及其任何员工均未被指控犯有不当行为,提供此故事信息的美国前官员强调,该公司本身并不是任何反情报调查的目标。
在回答详细问题时,Supermicro表示“对于这些所谓的调查,美国政府或我们的任何客户从未与它联系”。该公司表示,彭博社已经汇总了“各种各样的,不准确的指控”,“得出了牵强的结论”。该公司表示,联邦机构,包括本文所述进行调查的那些机构,仍在购买Supermicro产品。它指出,有关反情报调查的描述缺乏完整的细节,包括调查的结果或调查是否正在进行。完整的回应在这里发布。
该公司表示:“ Supermicro是美国的成功典范,我们产品的安全性和完整性是重中之重。”
中国外交部发言人称,这些袭击事件“企图使中国和中国企业蒙受耻辱”,并指责美国官员“捏造一切以炒作'中国威胁'。”
发言人在书面声明中说:“中国从来没有要求企业或个人通过安装'后门'来为中国政府收集或提供来自其他国家的数据,信息和情报。”
这个故事取材于对来自执法,军事,国会,情报机构和私营部门的50多人的采访。多数人要求不透露姓名以分享敏感信息。彭博新闻社审查的公司文件中证实了一些细节。
彭博商业周刊(Bloomberg Businessweek)于2018年10月首次报道了中国对超微产品的干预,该文章侧重于2015年在服务器主板上发现的新增恶意芯片的账目。该报道称,苹果公司和亚马逊公司已发现设备上的芯片他们购买了。Supermicro,苹果和亚马逊公开呼吁撤军。美国政府官员也对该文章提出异议。
有了其他报告,现在很清楚,《商业周刊》的报告仅涵盖了一系列较大事件的一部分,在这些事件中,美国官员首先怀疑,然后调查,监视并试图管理中国对超微产品的反复操纵。
整个过程中,政府官员都将其调查结果保留在公众面前。据三位美国前官员称,Supermicro本身并未被告知联邦调查局的反情报调查。
由于局和其他政府机构警告了一些精选的公司并寻求外部专家的帮助,这种秘密有时会解除。
“在2018年初,FBI反情报部门向我建议的两家安全公司进行了调查,调查了在超微主板上发现增加的恶意芯片的情况,”前海军海豹突击队创始人麦克·扬克说,他是风险投资公司DataTribe的共同创始人。“这两家公司随后参与了政府调查,他们在实际被篡改的Supermicro板上使用了先进的硬件取证,以验证所添加恶意芯片的存在。”
扬克的公司曾将初创公司与美国情报界的前成员一起培育,他说,不允许两家公司公开谈论这项工作,但他们确实与他分享了分析的细节。他同意总体上讨论他们的发现,以提高人们对技术供应链中中国间谍活动威胁的认识。
扬克说:“这是真实的,政府也知道。”
“未经授权的入侵”
Supermicro由台湾移民Charles Liang于1993年创立,旨在利用全球供应链。它的许多主板(运行现代电子设备的芯片和电路的集群)由承包商在中国制造,然后组装到美国和其他地方的服务器中。
该公司去年的营收为33亿美元,它的计算机设备在云计算时代变得无处不在。它的主板用于从医学成像扫描仪到网络安全设备的产品。美超微拒绝回答有关它是否依赖今天的中国合约制造商的问题。
在对任何上市公司的不寻常披露中,Supermicro于2019年5月告诉投资者,其自己的计算机网络已被破坏多年。该公司写道:“在2011年至2018年之间,我们经历了对网络的未经授权的入侵,” “这些入侵都没有单独或总体上对我们的业务,运营或产品造成重大不利影响。” 该公司没有回应有关这些入侵的更多详细信息的请求。
在超微的产品受到美国政府的持续审查之前,联邦官员担心中国在全球电子制造业中的主导作用。
五角大楼另一个受到关注的供应商是中国的联想集团有限公司。2008年,美国调查人员发现,伊拉克的军事部门正在使用已更改硬件的联想笔记本电脑。后来,在一次美国刑事案件中,这一发现以鲜为人知的证词浮出水面,这是对中国硬件黑客的罕见公开描述。
“大量联想笔记本电脑卖给了美军,主板上的芯片被加密,该芯片可以记录所有输入到笔记本电脑中的数据并将其发送回中国,”管理海洋网络的Lee Chieffalo说道。伊拉克费卢杰附近的军事行动中心在2010年那起案件中作证。“这是一个巨大的安全漏洞。我们不知道它们获得了多少数据,但我们不得不将所有这些系统从网络上删除。”
美国三名前官员证实了Chieffalo对联想主板上增加芯片的描述。他们说,这一事件向美国政府发出了有关硬件变更的警告。
女发言人夏洛特·韦斯特(Charlotte West)在一封电子邮件中表示,联想并未得知证词,美国军方也没有告知联想对其产品的任何安全问题。韦斯特说,美国官员在回顾联想于2014年从IBM和Google收购的业务时,对联想的背景和信誉进行了“广泛调查”。两次购买均获得批准。
韦斯特说:“由于没有任何问题的报告,我们无法评估您引用的指控或第三方干预是否引发了安全隐患。”
三位美国官员说,在2008年发现后,国防部悄悄地阻止了联想的硬件进入某些敏感项目,但该公司并未从五角大楼的批准供应商名单中删除。
在2018年,美国陆军和空军购买了价值220万美元的联想产品-购买五角大楼的监察长在2019年的一份报告中批评说,该报告引用了“已知的网络安全风险”。
报告说,国防部需要一个更好的过程来评估技术购买并在必要时实施禁令。
五角大楼攻击
五角大楼安全团队在2010年初左右发现了未分类网络中Supermicro服务器的异常行为。
据六名前机密官员介绍,这台机器上载有未经授权的指令,该指令指示每个人秘密复制有关其自身及其网络的数据,并将该信息发送给中国。一位官员说,五角大楼在数千台服务器中发现了这种植入物。另一个将其描述为“无处不在”。
官员说,调查人员将流氓密码归功于中国的情报机构。五角大楼的一位前高级官员说,这种归属“毫无歧义”。
没有证据表明植入物虹吸了军事行动的任何细节。但是,攻击者确实获得了一些有价值的东西:数据相当于国防部未分类网络的部分地图。分析人员还担心,攻击者费力掩藏的植入物可能是一种数字武器,可以在冲突期间关闭这些系统。
据三位知情的官员透露,由于没有确定中国的最终目的,美国领导人于2013年决定对这一发现保密,并让攻击继续进行。官员们说,时任国家安全局局长的基思·亚历山大(Keith Alexander)在这一决定中发挥了核心作用。他们中的两个说,五角大楼设计了无法检测到的对策来保护其网络。
两位官员说,这些举动使美国自己的间谍得以开始收集有关中国计划的情报,而不会警告北京。
亚历山大发言人将问题转给了国家安全局。该机构拒绝发表一句话声明,而拒绝发表评论:“ NSA无法确认此事件或所描述的后续响应行动是否曾发生过。”
白宫高级官员拒绝评论这个故事中有关信息的详细描述。这位官员在一封电子邮件声明中说:“我们不会对这个具体问题发表评论。” “总的来说,总统已经承诺,他的政府将对各种商品和部门进行广泛的供应链审查,以识别重大的国家安全风险。当我们准备分享时,我们将提供有关该评论的更多详细信息。”
其他联邦机构,包括国家情报局局长办公室,国土安全部和联邦调查局,均拒绝对此事发表评论。
国防部发言人说,官员们一般不会对调查,情报问题或特定供应商发表评论。在回答有关五角大楼2010年调查的问题时,一位官员表示,政府已在努力维护其供应链。
“在对抗方面,国防部采取了许多步骤,继续努力排除对我们的国家安全构成威胁的产品或公司,”艾伦·洛德(Ellen Lord)说道。 1月20日,她没有给Supermicro或任何其他公司起名字。
当他们调查五角大楼的数据中心时,政府官员采取了谨慎的措施,试图阻止Supermicro产品在敏感的国家安全网络中使用,即使该公司仍在认可供应商的公开名单上。
阿德里安·加德纳(Adrian Gardner)曾是马里兰州格林贝尔特市宇航局戈达德太空飞行中心的首席信息官,他说,他在2013年离开戈达德的计算机系统时,就了解了情报界对超微产品的担忧。
Gardner拒绝确切讨论他被告知的内容或NASA是否删除任何硬件。但他说,这一信息很明确:“美国政府必须使用所有可用的控制措施,以确保它不会在高价值资产和敏感网络的系统边界内部署Supermicro的设备。”
美国代理商继续购买Supermicro产品。该公司的新闻稿显示,NASA的戈达德中心(Goddard Center)在2017年购买了一些未分类的网络,专门用于气候研究。去年,负责核武器分类工作的劳伦斯·利弗莫尔国家实验室(Lawrence Livermore National Laboratory)购买了用于进行未分类研究的Supermicro设备,用于Covid-19。 。
定制代码
当军事专家调查五角大楼的违规行为时,他们确定了指导五角大楼服务器的恶意指令被隐藏在机器的基本输入输出系统(BIOS)中,该系统是告诉计算机在启动时该怎么做的一部分。
两位有直接知识的人说,这种操作结合了两段代码:第一部分嵌入在管理启动顺序的指令中,并且不能轻易擦除或更新。该代码获取了附加的指令,这些指令被存储在BIOS芯片的未使用内存中,即使对安全性要求很高的客户也不太可能在其中找到它们。打开服务器电源后,植入程序将加载到机器的主内存中,并在该内存中定期发送数据。
像Supermicro这样的制造商通常会从第三方获得大部分BIOS代码的许可。但是,据六名前美国官员介绍的发现,政府专家确定植入物的一部分驻留在与超微相关的工人定制的代码中。
调查人员检查了其他供应商制造的Defense Department服务器中的BIOS代码,未发现类似问题。他们在不同时间,不同工厂生产的Supermicro服务器中发现了相同的异常代码,这表明该植入物是在设计阶段引入的。
六位官员说,总体而言,调查结果表明,中国情报机构已经渗透了超微的BIOS工程。
据五位美国前任官员称,到2012年,联邦调查局已经展开了反情报调查,旧金山外地办事处的探员使用FISA令监视了与超微有关的几人的通信。
其中三名官员表示,联邦调查局有证据表明,该公司已经被有意或无意为中国工作的人渗透。他们拒绝详细说明该证据。
官员们说,FISA的监视包括有能力改变公司技术的个人,而不是针对高级管理人员。
目前尚不清楚监测持续了多长时间。司法部尚未确认调查或宣布与之相关的任何指控。反情报调查旨在监视和破坏在美国境内的外国情报活动,很少导致刑事案件。
到2014年,美国政府的调查人员正在寻找任何其他形式的操纵-如五角大楼前官员所说,他们可能会错过的任何操纵。数月之内,联邦调查局根据美国情报机构提供的信息,发现了另一种发生变化的设备:在超微主板上添加了恶意芯片。
发出警告
据七位前美国官员介绍,在2014年至2017年间,政府专家认为使用这些设备是中国硬件黑客功能的重大进步。这些芯片仅向机器中注入了少量代码,从而打开了一扇门官员说,对于攻击者。
两名官员说,随着时间的推移,发现了带有添加芯片的小批量主板,而且许多超微产品都不包含这些主板。
由于对设备的复杂程度感到震惊,官员们选择在简报中以名称标识Supermicro的方式警告少数潜在目标。来自10家公司和一家大型市政公用事业公司的高管告诉彭博新闻社,他们已经收到了这样的警告。尽管大多数高管要求不透露姓名以讨论敏感的网络安全问题,但有些高管同意进行记录。
“这是对董事会本身的间谍活动,”穆库尔·库马尔说。他说,他在2015年的一次保密通报中收到了这样的警告,当时他是圣何塞芯片设计公司Altera Corp.的首席安全官。“板上有一个不应该被召回的芯片,不是送给超微而是送往中国。”
Kumar说,Altera于2015年12月被Intel收购,没有使用Supermicro产品,因此该公司确定它没有风险。
库马尔说,在他的个人情况通报后,他了解到另外两家硅谷半导体公司的同行已经收到了同样的联邦调查局警告。
“特工们说这不是一次性的案件;他们说这影响了数千台服务器。”库马尔谈到自己与联邦调查局探员的讨论时说。
尚不清楚有多少公司受到增发芯片攻击的影响。彭博社(Bloomberg)2018年的故事援引一位官员的话说,这个数字接近30,但没有客户承认在Supermicro主板上发现恶意芯片。
收到警告的几位高管表示,这些信息包含的内容太少,无法找到任何流氓筹码。两名前高级官员说,技术细节一直保密。
网络安全主管迈克·奎因(Mike Quinn)是思科系统公司和微软公司的高级职位,他说,美国空军官员向他介绍了超微主板上增加的芯片。他说,奎因在一家可能是空军合同潜在投标人的公司工作,官员们希望确保任何工作都不会包括超微设备。彭博社同意不透露奎因何时收到简报,也不愿透露他当时在工作的公司。
“这不是一个人在酒店房间偷电路板和焊接芯片的情况;奎因回忆起空军官员提供的细节。他说。他说,该芯片“被混入了多层板上的走线中”。
奎因说:“攻击者知道该板的设计,使其可以通过”质量保证测试。
空军发言人在一封电子邮件中说,根据任何公共法律授权,美国空军没有将超微设备排除在合同之外。他说,总的来说,国防部在管理国家安全系统合同中的供应链风险方面有非公开的选择。
在对问题的书面答复中,Supermicro表示,没有客户或政府机构曾通知该公司有关其设备中恶意芯片的发现。它还表示,“即使聘请第三方安全公司对我们的产品进行独立调查,也从未发现任何恶意芯片。” 该公司没有回答有关谁选择了被调查样品的问题。
彭博社在2018年10月报道了增加芯片威胁之后,美国国土安全部,联邦调查局,国家情报局局长办公室和美国国家安全局的官员发表了公开声明,要么低估了报告的有效性,要么说他们不知道该报告的有效性。所述攻击。美国国家安全局表示,当时它被彭博社的报告“迷住了”,无法证实。该机构上个月表示支持这些评论。
关于增加芯片的警报不仅限于私营部门。美国四个机构的前首席信息官告诉彭博社,他们参加了美国国防部在2015年至2017年间发布的有关Supermicro主板上增加芯片的简报。
据协助进行分析的两家公司的顾问扬克(Janke)称,联邦调查局(FBI)最早在2018年检查了操纵过的超微型主板的样品。
达伦·莫特(Darren Mott)负责该局在阿拉巴马州亨茨维尔卫星办公室的反情报调查,他说,一位位置良好的联邦调查局同事于2018年10月为他描述了添加芯片的关键细节。
“我被告知,Supermicro主板上还有一个额外的小部件,这些部件本来不应该存在的,”已退休的莫特说。他强调说,这些信息是在未分类的环境中共享的。“联邦调查局知道该活动是在中国进行的,知道它在担心,并就此事向某些实体发出了警报。”
莫特说,当时,他为曾向他询问芯片问题的公司提供建议,以认真对待这一问题。
变更的更新
公司调查人员发现了中国黑客利用Supermicro产品的另一种方式。2014年,英特尔高管将其网络中的安全漏洞追溯到从Supermicro网站下载的看似常规固件更新。
英特尔安全管理人员得出的结论是,根据他们在2015年向一群技术行业同行展示的幻灯片显示,一个中国精英黑客组织实施了这次攻击。两名与会者同意分享演示的详细信息。
在回应有关此事件的问题时,英特尔发言人表示,这是早被抓到的,并且没有造成数据丢失。
女发言人塔拉·史密斯(Tara Smith)表示:“在2014年,英特尔IT部门确定并迅速解决了在我们网络中包含的两个系统上的非英特尔软件中发现的问题。” “对我们的网络或数据没有影响。” 她拒绝详细说明。
看到幻灯片的人说,英特尔的演讲重点是攻击者的身份以及他们对可信赖的供应商更新站点的使用。一位知情人士说,美国情报界的一位联系人警告该公司有关违规行为。提示可帮助英特尔调查人员确定攻击者来自国家赞助的称为APT 17的组织。
据赛门铁克和FireEye等网络安全公司称,APT 17专门研究复杂的供应链攻击,并且经常会击中多个目标以使其受害。在2012年,该组织对网络安全公司Bit9进行了黑客攻击,以获取受Bit9产品保护的国防承包商。
英特尔的调查人员发现,Supermicro服务器在从Supermicro为客户建立的更新网站上收到固件补丁后不久便开始与APT 17通信。固件本身没有被篡改;根据Intel的介绍,该恶意软件是直接从该站点下载的ZIP文件的一部分。
这种传输机制与最近的SolarWinds骇客所使用的机制类似,据称俄国人通过软件更新将政府机构和私人公司作为目标。但是存在一个关键区别:就英特尔而言,该恶意软件最初仅出现在该公司数千台服务器中的一台中,然后在几个月后才出现在另一台中。英特尔的调查人员得出结论,攻击者可以针对特定计算机,从而大大降低了检测可能性。相比之下,恶意代码感染了多达18,000个SolarWinds用户。
根据公司介绍的描述,英特尔高管在攻击发生后不久就向Supermicro通报了该攻击。
Supermicro没有回答有关此事件的详细问题,但表示:“英特尔提出了一个我们无法核实的问题,但是出于谨慎的考虑,我们立即采取措施解决。” 两家公司继续彼此开展大量业务。
两名参与公司调查并要求不透露姓名的顾问表示,在英特尔事件发生后,涉及Supermicro更新站点的违反行为仍在继续。
一位咨询这两个案件的人士说,在两家非美国公司的事件中,一家在2015年,另一家在2018年,攻击者通过更新站点感染了一台Supermicro服务器。这位知情人士称,两家公司都涉足钢铁行业。该公司援引保密协议,拒绝透露他们的身份。该人士说,此次入侵的主要嫌疑人是中国。
据参与调查的顾问称,2018年,一家美国主要合同制造商在Supermicro网站的BIOS更新中发现了恶意代码。顾问拒绝透露制造商的名字。彭博社审查了有关调查报告的一部分。
目前尚不清楚这三家公司是否已将其更新站点的问题告知了超微,而超微并未对此做出回应。
如今,随着SolarWinds黑客事件仍在调查中,有关技术供应链的国家安全担忧已融入美国政治。美国官员呼吁建立更严格的供应链监管和制造商,以确保其代码和硬件安全。
FBI反情报助理总监直到2012年的弗兰克·菲格里兹(Frank Figliuzzi)表示:“美超微的悲惨故事是该行业的一个令人振奋的警钟。”菲格洛奇拒绝透露具体细节,但同意公开谈论美超微历史的影响。中国篡改。
他说:“如果您认为这个故事只涉及一家公司,那您就错了。” “对于科技行业供应链中的任何人来说,这都是'不要让这种事情发生在您的时刻。”