全美多家頂級科技公司被黑，罪魁禍首是一枚鉛筆尖大小的中國芯片？

【獵云網（微信號：ilieyun）】10月5日報道（編譯：清酒）

據彭博社爆料，全美多家頂級科技公司，都被一枚不到鉛筆尖大小的中國芯片黑了！

罪魁禍首就是下圖中的這枚芯片。大家可以看到它的尺寸極小，連最小的一美分硬幣跟它比起來都很巨大。

這些微型間諜芯片，被偷偷插在了美國超微（Supermicro）公司在華代工廠的主板上，從而為其滲透美國、獲取情報開了無數極其隱蔽的“后門”。

報道稱，壟斷全球服務器主板市場的超微產品，不僅大舉進入蘋果、亞馬遜等世界級高科技企業(yè)，也進入了美國中情局和國防部等直接涉及國土安全的要害部門，總數可能超過30家。這些公司和美國軍方早在三年前就知道了這事兒，但直到現在卻拒絕公布細節(jié)，甚至否認此事存在。

彭博社宣稱，一共有17位匿名人士為這篇報道佐證。他們在報道中特意強調：超微雇傭了大量來自中國大陸和臺灣的工程師。這些工程師們彼此用普通話溝通、開會，而這些會議常常比用英文召開的會議更加高效，因此，“這種溝通狀態(tài)，很有可能為黑客竊取情報提供了方便?！?/p>

這么大規(guī)模的黑客攻擊，具體是怎么實現的呢？

簡單來說，中國黑客設計了這個芯片，內含足夠的處理性能、內存和聯網能力來實施攻擊，芯片被偽裝成藍牙信號濾波器；芯片被中國代工廠放進全世界最大的主板公司超微的主板里；安裝了這種芯片的主板被超微組裝到服務器里；被攻破的服務器進入了數十家公司的數據中心；服務器被安裝并啟用后，芯片會修改操作系統的內核，讓其接受未經允許的修改，芯片還能操縱主板和遠程的黑客建立連接。

這次的硬件攻擊可謂是史無前例。大部分人理解中的黑客都是通過軟件的漏洞進行攻擊，而像這樣的硬件攻擊，少之又少。它的精彩之處在于追溯到了生產過程很靠前的階段，在元器件采購時就植入了“木馬”；在之后整個生產、組裝和校驗的，多方參與的漫長過程中，都沒有暴露。

蘋果和亞馬遜立刻發(fā)布了針對這篇報道的聲明，嚴詞反駁其有關于自己公司的不實報道。

亞馬遜公司回應：對于與超微相關的問題，我們重新審核了相關的記錄，包括重新審核我們在2015年進行的第三方安全審計報告——這是我們收購（使用超微產品的）Elemental公司前進行盡職調查的一部分。我們沒有發(fā)現任何證據支持惡意芯片或硬件修改的聲明。收購前，第三方安全公司曾經報告了超微主板管理的Web應用程序（不是硬件或芯片）的四個問題。這些問題在我們收購Elemental之前都得到了充分解決。

在2018年6月，研究人員又公開報告了超微固件中的漏洞。作為我們標準操作程序的一部分，我們及時通知了受影響的客戶，并建議他們升級其設備中的固件。在過去和《彭博商業(yè)周刊》進行溝通的幾個月中，我們不止一次告訴對方：我們從來沒有發(fā)現任何和超微有關的硬件改裝和惡意芯片問題，我們從來沒有和政府合作進行過任何相關調查。這篇報道有如此多的不實之處，以至于我們都無法一一細數。

蘋果公司回應：在過去的一年中，《彭博商業(yè)周刊》多次與我們聯系，每次我們都會根據對方的詢問進行嚴格自查，但每次都沒有找到任何證據來支持他們的觀點。我們在相關記錄中幾乎駁斥了有關蘋果公司的每個陳述。

我們非常清楚的做出以下結論：蘋果公司從來沒有發(fā)現任何服務器中有故意植入的惡意芯片、硬件操縱”或漏洞。我們從未與FBI或任何其他機構就此類事件進行任何聯系。我們不知道聯邦調查局有任何調查，我們也沒有和執(zhí)法機構進行過相關聯系。我們深感失望的是，《彭博商業(yè)周刊》的記者拒絕承認，他們或者他們的“消息線索”有任何可能犯錯的可能。

而故事的主角，超微，很長時間沒發(fā)布任何聲明、采取任何行動，隨后在官網上發(fā)布的一條簡單的新聞稿的重點是對于亞馬遜公司和蘋果公司的回應的引用。這家低調到不可思議的公司，只是在最后加了這么一句：“我們從未被任何美國或美國以外的政府聯系過。我們對處于中國的合同制造商會定期進行安全核檢，而這些合同制造商并非為超微所專用——事實是，全球的系統設備公司都在用同樣的合同制造商。”

不過，報道里面的技術類描述確實有些含糊不清。這篇文章對于黑客攻擊實施缺乏足夠的技術細節(jié)闡釋，卻有大量且不成比例的敘述性、故事性內容。調查過此事件的美國政府官員，將超微形容為硬件界的微軟，“攻擊超微主板就像攻擊整個世界”。

無論怎樣，彭博社內部對于不準確信息是零容忍的，有很多層編輯來對故事進行核查。這是一支兩千名記者組成的軍隊，而這篇文章花了十幾個月的時間來組稿。作為看客，看著彭博社、蘋果和亞馬遜的反駁，就像在看物質和反物質對撞一樣。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時間，結果僅供參考，IT之家所有文章均包含本聲明。