示意圖,與新聞事件無關。

彭博周四引述消息人士報導,包括蘋果、Amazon等將近30家美國企業使用的伺服器在製造過程中遭「供應鏈攻擊」,被中國植入間諜晶片藉以竊取機密資訊。不過包括蘋果、Amazon及伺服器業者Supermicro都駁斥這項報導。

報導指出,2015年Amazon打算收購一家串流視訊伺服器業者Elemental Technologies,來擴大其Amazon Prime Video服務,該公司也有助於Amazon Web Service(AWS)的業務。為此,AWS聘請第三方稽核業者來檢視Elemental的安全性,初步就發現有點異狀,促使AWS進一步調查Elemental的主要產品,即安裝在客戶網路上用於影像壓縮的伺服器。

Elemental的伺服器是由美超微電腦公司(Super Micro Computer,簡稱Supermicro)組裝,後者也是全球主要伺服器主機板供應商。2015年春天,Elemental將數台伺服器送往加拿大第三方安全廠商進行測試,結果在伺服器主機板上發現一顆「比米粒大不了多少」的微小晶片,這並不包含在板子的原始設計中。Amazon隨即通報美國主管機關,也引發美國情治單位的震驚,因為Elemental的伺服器也賣給了美國國防部、中央情報局(CIA)的無人機部門、美國海軍。

更糟的是,Elemental只是Supermicro數百家客戶之一。美國政府之後三年間持續調查發現,這些晶片是在Supermicro中國下包商的工廠內被植入主機板中,讓攻擊者在這些伺服器所在的網路開啟後門。

報導引述美國兩名官員指出,這些晶片是由中國人民解放軍的間諜在製造過程中植入。一名官員表示,透過Supermicro,中國可能已經建立廣大的供應鏈攻擊(supply chain attack)管道,而滲透到了美國企業中。調查人員也發現,已經有將近30家美國公司,包括大型銀行、政府外包商,甚至蘋果遭到攻擊。

類似的情況,知名吹哨者Edward Snowden也揭露過,他提到,美國情治單位曾經在伺服器出貨運到客戶端的半路上,攔截加裝間諜晶片。另一種則是從生產源頭即植入機器。事實上,硬體滲透比軟體更可怕,因為更難移除,引發的災難也更長久、更具破壞性。

彭博的這份報導也引述蘋果消息人士指出,Supermicro大客戶蘋果也受到影響,該公司在2015年夏天,也在Supermicro主機板上發現了惡意晶片,隔年便以不相干的原因為由終止了和該公司的合約。

然而,在這之後,Amazon、蘋果及Supermicro皆透過彭博及The Verge等各大媒體傳播管道。否認此事。Amazon指出,該報導中提及的供應鏈攻擊、AWS對中國生產的伺服器遭竄改知情,以及AWS協助FBI調查惡意硬體,皆非事實。Amazon也重新審視了該公司2015年對Elemental收購案中,而關於Supermicro的調查紀錄,沒有發現任何支援惡意晶片和硬體竄改的證據。

蘋果也指出,多年來彭博已就此事多次聯繫蘋果。而蘋果每次也都再一次進行詳細的內部調查,都沒有發現任何支持的證據。蘋果從未發現過伺服器上有惡意晶片、硬體操弄或任何故意設下的漏洞,也未和FBI及其他單位就此事有過任何接觸。

Supermicro也發表聲明,表示該公司從未聽過政府單位就此事的調查,也未曾聽說該公司因此事而掉單,此外,Supermicro並不設計或製造網路晶片或相關韌體,也不曾向其他伺服器或是儲存公司購買這些東西。

此事在中美貿易大戰期間格外顯得敏感。不過也不是第一次。早在2012年美國也曾因為指控中國華為及中興網路設備藏有可能竊密的後門,呼籲美國企業不要使用。今年初FBI、CIA與國安局NSA也向美國人警告不要使用華為的產品或服務


Advertisement

更多 iThome相關內容