中國如何在伺服器中植入晶片進行間諜活動
2015年亞馬遜公司悄悄地開始對Elemental Technologies公司進行收購,主要是為了日益增長的線上視訊服務,後來就有了今日位於波特蘭的Amazon Prime Video視訊服務。Elemental Technologies公司的軟體可以根據不同的裝置轉換各種視訊格式。通過該技術可以直播奧運會、與國際宇宙空間站的宇航員進行視訊通話,還可以將無人機拍攝的視訊傳送給中央情報局(CIA)。Elemental Technologies公司的國安局訂單,完美滿足亞馬遜公司的商業需要,即使是CIA所使用的亞馬遜雲服務(AWS)也不例外。
在收購前,AWS為了進行盡職調查,請了第三方公司來稽核Elemental Technologies公司的安全標準,第一階段就發現了問題,那就是由超微電腦公司組裝的視訊壓縮伺服器,它是全球最大的伺服器主機板生產企業,這些主機板上充滿了各種晶片和電容是整個伺服器上神經系統。2015年春,Elemental Technologies公司將幾個伺服器打包送到了位於加拿大安大略湖的第三方安全檢測公司進行檢測。
檢測人員在伺服器主機板上發現了一個微型晶片,還沒有一粒米大,這個晶片不是主機板原有的晶片。亞馬遜向美國當局報告了這一情況,而這些伺服器也是CIA無人機專案中在美國國防部安裝的視訊壓縮伺服器,美國海軍的艦載網路上也安裝有該伺服器,而Elemental Technologies公司只是超微公司眾多客戶中的一個。
在長達3年時間的公開調查後,調查人員最終確認這些微型晶片可以讓黑客在伺服器的網路中留下後門,盜取資料,而這些晶片據稱是中國伺服器承包商在組裝伺服器時嵌入的。這種硬體間諜攻擊比現有常見的軟體黑客攻擊要嚴重的多,由於硬體無法立刻移除因此具有更大的破壞性,這種長期的隱蔽性間諜攻擊也吸引了更多的資金投入。
對電子裝置的間諜活動主要有2種方法:1種是美國方面喜歡的封鎖禁運,從生產到交付的整個過程全程進行封鎖;另外1種則是在電子裝置生產到交付的整個過程的每個環節都可能存在變數。這種方法對於中國來說實在是太簡單了,中國承包了全球75%智慧手機和90%的PC的生產,而且為了在生產過程中植入間諜裝置需要對電子裝置的設計具有相當程度的理解才能不被發現,保證裝置生產後經過全球供應鏈運達目的地,這類似於在上海長江入海口扔一根棍子後,最後需要保證這根棍子被海水衝上美國西雅圖的海岸。對於硬體黑客來說,能夠成功實施硬體上的攻擊可以完美避開任何的安全措施,被稱為黑客攻擊中的黑魔法。
美方官員目前的發現是:中國解放軍部隊某部在伺服器的生產過程中植入了該微型晶片。而在超微公司,中國的黑客間諜早已在整條供應鏈中佈下針對美國各個公司的間諜活動。美方的一位官員稱,至少有30家美國公司受到間諜活動的影響,其中包括一家大型銀行、政府專案承包商,還有全球最值錢的蘋果公司。蘋果公司是超微公司的主要客戶之一,在過去2年中為了新建資料中心購買了超過30000臺伺服器。3位蘋果公司的內部人員稱,在2015年夏季他們也在超微公司的伺服器主機板上發現了惡意晶片,2016年開始蘋果公司對超微公司的產品採取了更加嚴格的標準。
亞馬遜公司在2015年9月收購Elemental Technologies公司後,發表郵件申明,表示亞馬遜在收購時不知道超微的供應鏈存在晶片安全硬體漏洞,而且蘋果公司也沒有在伺服器中發現惡意晶片或其他硬體漏洞,之後蘋果公司也表示對此類調查行動毫不知情。另一方面中國政府沒有直接表達超微伺服器嵌入惡意晶片的態度,而是聲稱自己也是該事件的受害者之一,而美國政府FBI和情報局官員則對此不予置評。
而這些公司的申明遭到了6位前任及現任國家安全高階官員的反對,他們有的在奧巴馬政府中擔任過相關職位,有的在目前特朗普政府中擔任相關職位,都詳細說明了該項調查的前因後果及詳細過程。其中一位官員和2位亞馬遜AWS部門的人員提供了詳細的材料證明了該項黑客攻擊是如何在Elemental Technologies公司和被收購的亞馬遜部門進行的,他們還表示亞馬遜如何配合美國政府進行調查。除了3名蘋果公司員工外,以上提到的6位官員中有4位確認了蘋果公司也是該項黑客攻擊行動的受害者。因此目前有17位人士已經確定了超微公司的惡意晶片硬體黑客攻擊行為,由於此項調查的敏感性因此對這些人員的資訊採取了匿名保護。
一位美國政府官員表示,中國政府的目標是為了長期獲取美國高價值公司的商業祕密和敏感的政府資訊,目前為止使用者的資料沒有洩露。特朗普政府近期在針對中國的貿易制裁中,就包括了電腦、主機板和網路硬體。一些政府官員表示這些IT硬體公司正在考慮重新調整供應鏈,這樣的調整給了一些人話柄,即使他們對具體細節一竅不通,但之前就反覆強調這方面的安全措施。
根據美國官方繪製的該種硬體黑客行為:
1、中國軍方設計的只有鉛筆筆尖大小的晶片。某些晶片看上去就像是訊號狀態耦合器,這些晶片具有儲存、網路功能,足以發起黑客攻擊行為。
2、這些晶片在超微公司的中國代工廠內被植入伺服器主機板。
3、伺服器主機板最後組裝成伺服器運往美國。
4、含有惡意晶片的伺服器送往美國各大公司的資料中心機房。
5、當伺服器啟動後,該晶片可以修改系統核心以安全執行。未來這些晶片很可能被黑客遠端控制併發起攻擊。
回溯到2006年,當時3位俄勒岡的工程師看到移動視訊的趨勢即將爆發,他們預感到內容提供商將迫不及待地從電視螢幕轉移到各種移動裝置上,在這一過程中需要大量的伺服器將原有的電視格式視訊轉換成各種移動裝置上可以播放的視訊格式,因此他們成立了Elemental Technologies公司,並找到了當時一支天才程式員團隊位當時已經廣泛運用於高階遊戲機上的圖形處理晶片編寫程式碼,最後的軟體成品可以極大減少視訊轉換的事件,他們將這款軟體內置於自己設計的伺服器中,獲得了成功。Elemental Technologies公司的定製伺服器每臺售價高達10萬美元,利潤高達70%,該公司早期的2大客戶包括摩門教,他們利用新的視訊技術在全球佈道吸收新的會員;另一個大客戶便是成人愛情動作視訊,可惜他們卻沒有摩門教那麼成功。
2009年Elemental Technologies公司還與美國政府贊助的間諜機構In-Q-Tel公司合作,將該公司的視訊伺服器用於國家安全部門和政府機構中。根據該公司的公開材料顯示,該公司的視訊伺服器被用於國防部的資料中心,用於處理無人機和監控探頭拍攝的視訊檔案;美國海軍軍艦上用於接收並處理無人機的視訊檔案,政府機構內的加密視訊會議系統。美國航空航天局、美國參眾兩院、美國國土安全部也是他們公司的客戶,因此Elemental Technologies公司成為了國外間諜機構的攻擊目標。
超微公司則是Elemental Technologies公司定製伺服器的生產商不二之選,該公司由美籍臺灣人Charles Liang和妻子在1993年創立,之後矽谷開始大量外包工作,這給了亞洲很多國家的企業大量機會,從最初的臺灣到後來的中國大陸,都緊密地和美國的客戶聯絡起來。Charles Liang為了安撫大家的情緒,特意強調超微的海外代工伺服器主機板都是在美國的聖何塞進行測試,確保符合客戶要求才會交付使用。
目前超微公司是全球最大的伺服器銷售商,它還有價值1億美元的特殊要求伺服器客戶,產品從核磁共振機到武器系統無所不包,很多銀行裡也會有為他們特殊定製的伺服器、對衝基金、雲端計算、網路服務提供商等都是他們的客戶。超微公司在美國加州、荷蘭和中國臺灣擁有自己的組裝廠,但它的伺服器主機板大部分都是由中國大陸的代工廠製造。
超微公司為了最大限度滿足客戶的需求,還擁有上百名全職工程師針對客戶需求設計了超過600種的伺服器種類,公司在聖何塞的主要勞動力來自中國臺灣和大陸,普通話是公司內的通用語言,內部文字溝通幾乎都是中文漢字,中餐每週都會送到公司,很多電話都需要打2遍,1遍是打給英語員工,1遍是打給中文員工,後者的效率明顯要比英語員工要高。超微公司的這種特殊海外聯絡,特別是中文的普及,更加方便了中國政府提前獲取該公司各種計劃的可能性,美國政府甚至還在調超微查公司和其他美國公司內,是否存在中國人肉間諜幫助實施黑客行動的可能性。
2015年超微公司已經在全球100國家擁有超過900個客戶,它就像是硬體界的微軟,對超微公司的硬體發起攻擊就像是對微軟的作業系統發起攻擊。即使很多客戶還不知道,全球技術產業的供應鏈安全早已不存在。而早在美國公司發現硬體黑客攻擊行為之前,美國情報部門已經得到情報稱中國政府將使用惡意晶片對技術產品的供應鏈發起攻擊,每年當數百萬塊伺服器主機板被送往美國後,都具有潛在的危險。2014年上半年,美國情報部門就已得到了更加具體的報告,中國軍方正在準備將惡意晶片植入超微公司在大陸生產的美國公司的伺服器主機板內運往美國國內。
訊息雖然看上去有板有眼,但是並沒有提到具體針對的目標群體或公司,也不知道該黑客行動的目的是什麼,而且也沒有受到黑客攻擊的報告,因此FBI沒有對該事件做出充分的解答,白宮方面也是不斷在更新收到的訊息。蘋果公司在2015年5月發現通過對異常網路資料流量的分析,最後得出超微公司伺服器可能含有惡意晶片,之後將此情通報告給了FBI但沒有透露更多的技術細節。當美國政府還在調查發現的線索時,亞馬遜也發現了該情況並允許政府調查受到攻擊的硬體,這給當時還在調查的情報機構和FBI非常難堪,當時他們還在調查該惡意晶片的樣子和工作原理。
當時Elemental Technologies公司設計的伺服器上所發現的惡意晶片非常不起眼,要不是亞馬遜公司聘請的第三方安全設計公司通過X光拍攝透視照片,根本難以發現。它的外觀呈灰白色,看上去就像是個訊號耦合器,和主機板上其他元器件沒什麼區別。如果沒有特殊儀器根本不會發現,根據伺服器主機板的型號,該晶片的形狀、尺寸會略有不同,由此可判斷出黑客針對不同的伺服器主機板型號已經有了不同晶片設計。
根據調查人員表示,硬體上的晶片意味著允許,當伺服器執行時,該晶片可以對經過該伺服器的資料進行篩選,對需要的資料進行進一步處理。當伺服器執行時,作業系統的一部分程式碼會長期置留在伺服器的臨時記憶體和晶片中,而該主機板上的惡意晶片可以對資料排隊順序進行修改,注入設計好的程式碼改變原有的順序,看似微小的改變卻會對伺服器帶來災難性的後果。
由於該晶片的體積非常小,因此注入的程式碼也非常少,但這些程式碼卻可以完成2件重要的任務:1、使主機遠端與匿名伺服器進行通訊並載入更多的複雜程式碼;2、允許伺服器作業系統執行這些程式碼。而由於植入的晶片直接和主機板的底層管理器相連,因此該晶片具有最高的管理員許可權,可以執行任何程式碼並進行遠端通訊,即使在本機上被刪除的資訊也可以被讀取。
而且該套系統還能使黑客清楚伺服器的各項功能,只要他們需要就可以獲得需要的資訊,打個比方來說,很多伺服器執行的是Linux作業系統,在Linux作業系統內,使用者登陸時會對輸入的密碼和原先儲存的加密密碼進行驗證,只有驗證通過才能登陸。而植入的惡意晶片可以繞過該項功能,使伺服器可以讓使用者不經過驗證直接登入。這就意味著配置再安全的伺服器也能直接登入,晶片盜取了用於加密通訊的金鑰後,可以禁用重要安全更新,這樣伺服器就會處於危險狀態。Hardware Security Resources LLC創始人Joe FitzPatrick表示,硬體上的漏洞是最高級別的網路安全漏洞。
美國政府之前已經發現中國政府開展的硬體黑客活動,但規模如此之大的硬體黑客行為還是第一次發現。調查人員目前還無法準確判斷到底有多少超微公司的產品被黑客利用,也不知道有多少美國公司的伺服器中存在此類後門漏洞。硬體黑客攻擊不同於軟體黑客攻擊,硬體攻擊一定會留下蛛絲馬跡。元器件都有詳細的清單和發票,主機板都有唯一的序列號可以追溯由哪一家工廠生產。因此為了追蹤這些惡意晶片,美國情報機構開始對超微公司的供應鏈系統進行反向調查,最後找到了某個具有重大嫌疑的案犯。
2016年根據供應鏈網站DigiTimes的報道,超微公司的伺服器主機板主要由3家生廠商,2家位於臺灣,1家位於上海。由於這3家工廠無法滿足訂單需求,因此會把一些訂單外包給其他二級代工企業。為了進一步調查這些晶片的來源,美國間諜機構開發了許多定製網路工具,通過攔截大陸與臺灣之間的通訊資訊,甚至是代工廠關鍵人物的個人通話記錄,最後查到有4家二級代工廠在超微的伺服器主機板內注入惡意晶片已經有至少2年時間。
通過對中方官員、主機板製造企業和中間人的監控,美方終於摸清了植入晶片的整個流程。在一些情況下,由工廠內聲稱是超微公司的代表或是政府代表要求經理在主機板內植入晶片,中間人會要求修改伺服器主機板的最初設計稿,通常會賄賂過程中遇到的各個人物來滿足他們的要求。如果還不能成功,就開始威脅代工廠經理對工廠進行各種檢查,無法滿足生產要求,需要關閉工廠。一旦所有操作到位後,中間人開始向工廠源源不斷運送惡意晶片。
調查人員據此認為該專案的背後主謀是解放軍的某硬體部門,該部門一直處於保密狀態不被外界所知。該部門針對的是高優先順序的目標,包括高階商業技術和美軍方電腦訂單。在過去的攻擊行為中,主要針對的是高效能電腦晶片和美國大型網路攻擊的計算系統所使用的伺服器。
中國外交部之後釋出宣告稱:中國是網路安全的堅定擁護者。2011年,中國已經和上合組織的成員國一起提出了硬體安全倡議。中國希望美方不要捕風捉影,而是雙方進行建設性的對話和協商一起營造和平、安全、開放、合作、有序的網路環境。
超微公司的硬體黑客攻擊行為是另一起與解放軍有關的黑客行為,而且比個人使用者帶來的影響更大更致命。比如說蘋果公司,在資料中心已經使用了好幾年超微公司的伺服器產品,2013年後兩家公司的關係更加密切,當時蘋果公司收購了一家名為Topsy Labs初創企業,用於建立一種超快的網際網路索引和搜尋技術。到2014年,該初創企業已經開始在全球各主要城市附近建立起了小型資料中心,該專案最早名為Ledbelly,用於蘋果公司的Siri語音助手能更快的進行搜尋。
根據《Businessweek》2014年的檔案顯示,當時蘋果公司向超微公司訂購了超過6000臺伺服器用於全球各地17座資料中心部署,其中包括阿姆斯特丹、芝加哥、香港、洛杉磯、紐約、聖何塞、新加披、東京等地,除此之外還有已經部署在美國北卡羅萊納和俄勒岡資料中心內的伺服器。到了2015年,伺服器的數量比2014年翻了一番。Ledbelly專案使蘋果成為超微公司的重要客戶,而同時也成為了解放軍的重點關注物件。
之後由於該專案出現了延遲和效能表現問題,導致了約7000臺超微伺服器出現了問題,蘋果公司內部的網路安全團隊由此發現了惡意晶片。而蘋果公司一向不允許美國政府對公司的網路和硬體進行干涉,因此該訊息一直沒有被公開。
美國的調查人員最終還是找到了其他的受害者,由於該晶片一直用於遠端的匿名伺服器進行通訊,因此調查人員通過這些電腦還能定位其他的受害者。儘管調查人員無法找到全部的受害者,最後的結論顯示主要有30家美國公司受到該晶片的攻擊。但是接下來的問題是通知誰和怎麼通知,美官方常年發出安全警告稱,中國2家通訊裝置製造商華為和中興公司生產的網路裝置,會受到中國政府的操縱。幾乎每個美方公司都收到過類似的安全風險提示,官方也會對一些重要的超微客戶發出警告,一位美國大型網路公司的管理人員稱,官方的意思很清楚,超微公司的伺服器硬體不能使用,政府希望停止使用這些伺服器。
亞馬遜在2015年9月收購Elemental公司後,希望將它的軟體放在自己的AWS雲上使用,亞馬遜的AWS所使用的伺服器直接在美國國內設計生產,並由亞馬遜直接管理。而亞馬遜在中國的資料中心卻是個例外,其中都是超微公司的伺服器。出於對Elemental公司事件的安全考慮,亞馬遜公司的網路安全團隊對北京的AWS伺服器進行調查後發現了那些伺服器主機板型號。在某些伺服器主機板上甚至還發現了更薄的惡意晶片,直接附著在元器件和電路板之間,新發現的惡意晶片比鉛筆的筆尖還要小。
中國政府一直以來都對國內的銀行、製造企業和普通民眾進行監控,而亞馬遜的中國區AWS
主要客戶是中國國內的公司和外資公司,中國政府對亞馬遜AWS的監控行為和亞馬遜的宗旨形成了無解的死結。亞馬遜公司的內部安全團隊認為無法悄悄地移除這些伺服器,即使移除也會引起黑客的注意,覺得是亞馬遜發現了惡意晶片。因此該團隊想出了一個方法對該晶片進行監控。在接下來的幾個月裡,他們檢測到黑客與伺服器之間的通訊但是沒有發現刪除資料的行為。這樣的行為有2種可能,黑客可能是關閉晶片為以後的進一步的行動或者他們已經在檢測行為發生前入侵了網路內的其他裝置。
2016年中國政府通過的新的網路安全法意味著國家有更大的權力訪問敏感資料,這是亞馬遜開始行動,當年8月,亞馬遜將北京資料中心的管理權交給了當地的合作企業Beijing Sinnet,亞馬遜對這一行為的解釋是為了符合新網安法的規定。接著11月將所有的網路基建以3億美元賣給了Beijing Sinnet,這一舉動被認為是亞馬遜公司的壯士斷腕。
蘋果公司自從2015年夏發現了有問題的伺服器後,替換掉了資料中心內所有的超微伺服器,這一舉措被蘋果公司成為“回到起點”。所有7000臺超微伺服器在幾周時間內全部被替換,並在2016年通知超微公司將收緊合作條款。當年8月,超微公司創始人Charles Liang稱失去了2大客戶,他將損失歸結於激烈的價格競爭。自從被發現了惡意晶片後,超微公司陷入了財政問題,由於沒有在規定時間內提供季度報告和年度報告,超微公司在2018年8月23日從納斯達克退市。
2015年9月下旬,當時的奧巴馬總統和中國國家主席習近平在白宮舉行了一個時長1小時的新聞釋出會,重點關於網路安全。經過幾個月的談判,美國得到了中國的一個極大的承諾:官方不會支援黑客盜取美國智慧財產權獲利的行為。而根據當時的官員回憶,中國之所以能做出這樣的承諾是因為已經在培養更加先進,更隱蔽的供應鏈黑客行為。
就在該共識宣佈後的幾周內,美國政府五角大樓悄悄地在一次邀請會上,警告好幾十個技術公司管理人員和投資人,希望他們警惕最近發生的網路攻擊行為,對網路硬體裝置進行檢測,與會人員沒有透露具體的硬體商名字,但可以肯定有超微公司。
本文所討論的不僅僅是網路安全的技術問題,而是幾十年前的美國科技巨頭的策略,將先進製造業轉移至東南亞,之後幾年,低成本的中國製造打亂了美國科技巨頭們原先的想法。就像蘋果公司早期的電子產品都是在美國國內生產,後來到了1992年它關閉了美國國內的主機板生產廠和電腦組裝生產線,將很多工作都進行了海外外包。
過去幾十年來,供應鏈的安全成為了西方政客的主題之一,其中的一個觀點認為中國工廠發生的間諜行為不會影響中國成為全球工廠的世界定位,也不會影響西方大國的地位,因此只需要考慮如何進行利用中國最大勞動力市場和最便宜的勞動力價格進行商業系統生產,這類似於與魔鬼撒旦的談判,美國也因此失去了足夠的、安全的、國內的供應鏈,即使獲得了足夠的供應鏈也難以確保安全性。每個公司都只能選擇後者來首先滿足自己的供應鏈需求,將安全放在次要位置。
自從超微公司伺服器黑客事件後,還沒發現類似的商業間諜行為。其他公司也不像蘋果和亞馬遜那樣財大氣粗和運氣能及時發現問題,此類事件是先進技術中的先進技術,也沒有簡單的技術解決方案,科技公司需要不斷投入研發世界想要的技術,而不是去研發世界不能接受的黑客技術。