彭博：蘋果、Amazon等近30家美企伺服器遭植入中國惡意晶片竊密

彭博周四引述消息人士報導，包括蘋果、Amazon等將近30家美國企業使用的伺服器在製造過程中遭「供應鏈攻擊」，被中國植入間諜晶片藉以竊取機密資訊。不過包括蘋果、Amazon及伺服器業者Supermicro都駁斥這項報導。

報導指出，2015年Amazon打算收購一家串流視訊伺服器業者Elemental Technologies，來擴大其Amazon Prime Video服務，該公司也有助於Amazon Web Service（AWS）的業務。為此，AWS聘請第三方稽核業者來檢視Elemental的安全性，初步就發現有點異狀，促使AWS進一步調查Elemental的主要產品，即安裝在客戶網路上用於影像壓縮的伺服器。

Elemental的伺服器是由美超微電腦公司（Super Micro Computer，簡稱Supermicro）組裝，後者也是全球主要伺服器主機板供應商。2015年春天，Elemental將數台伺服器送往加拿大第三方安全廠商進行測試，結果在伺服器主機板上發現一顆「比米粒大不了多少」的微小晶片，這並不包含在板子的原始設計中。Amazon隨即通報美國主管機關，也引發美國情治單位的震驚，因為Elemental的伺服器也賣給了美國國防部、中央情報局（CIA）的無人機部門、美國海軍。

更糟的是，Elemental只是Supermicro數百家客戶之一。美國政府之後三年間持續調查發現，這些晶片是在Supermicro中國下包商的工廠內被植入主機板中，讓攻擊者在這些伺服器所在的網路開啟後門。

報導引述美國兩名官員指出，這些晶片是由中國人民解放軍的間諜在製造過程中植入。一名官員表示，透過Supermicro，中國可能已經建立廣大的供應鏈攻擊（supply chain attack）管道，而滲透到了美國企業中。調查人員也發現，已經有將近30家美國公司，包括大型銀行、政府外包商，甚至蘋果遭到攻擊。

類似的情況，知名吹哨者Edward Snowden也揭露過，他提到，美國情治單位曾經在伺服器出貨運到客戶端的半路上，攔截加裝間諜晶片。另一種則是從生產源頭即植入機器。事實上，硬體滲透比軟體更可怕，因為更難移除，引發的災難也更長久、更具破壞性。

彭博的這份報導也引述蘋果消息人士指出，Supermicro大客戶蘋果也受到影響，該公司在2015年夏天，也在Supermicro主機板上發現了惡意晶片，隔年便以不相干的原因為由終止了和該公司的合約。

然而，在這之後，Amazon、蘋果及Supermicro皆透過彭博及The Verge等各大媒體傳播管道。否認此事。Amazon指出，該報導中提及的供應鏈攻擊、AWS對中國生產的伺服器遭竄改知情，以及AWS協助FBI調查惡意硬體，皆非事實。Amazon也重新審視了該公司2015年對Elemental收購案中，而關於Supermicro的調查紀錄，沒有發現任何支援惡意晶片和硬體竄改的證據。

蘋果也指出，多年來彭博已就此事多次聯繫蘋果。而蘋果每次也都再一次進行詳細的內部調查，都沒有發現任何支持的證據。蘋果從未發現過伺服器上有惡意晶片、硬體操弄或任何故意設下的漏洞，也未和FBI及其他單位就此事有過任何接觸。

Supermicro也發表聲明，表示該公司從未聽過政府單位就此事的調查，也未曾聽說該公司因此事而掉單，此外，Supermicro並不設計或製造網路晶片或相關韌體，也不曾向其他伺服器或是儲存公司購買這些東西。

此事在中美貿易大戰期間格外顯得敏感。不過也不是第一次。早在2012年美國也曾因為指控中國華為及中興網路設備藏有可能竊密的後門，呼籲美國企業不要使用。今年初FBI、CIA與國安局NSA也向美國人警告不要使用華為的產品或服務。