彭博再報導：Supermicro間諜晶片真的存在，美國國防部、英特爾、FBI都知情

2018年彭博報導指出，美商超微（Supermicro）的主機板疑似被中國政府支持的駭客植入間諜晶片，引發軒然大波。本周彭博再次引述消息人士報導，為這件事提供更多佐證。

2018年彭博報導，超微賣給蘋果、Amazon等將近30家美國企業的伺服器，在製造過程中遭供應鏈攻擊，據悉被中國解放軍控管的駭客植入間諜晶片，藉以竊取機密資訊。這篇報導引起業界震撼，不過包括蘋果、Amazon及超微都駁斥這項報導。當時報導，中國駭客行動是於2015年，被一家民間安全廠商在鑑識過程中發現。

彭博上周報導則指出，發現中國駭客行動的還有其他單位，而且不只一家。根據最新報導，2010年美國國防部發現數千臺伺服器利用晶片內處理啟動過程的程式碼，暗中將軍事網路資料傳給中國。

2014年英特爾也發現公司網路被中國駭客組織利用一臺伺服器駭入，該伺服器偷偷從英特爾供應商的軟體更新網站下載惡意軟體。此外，2015年美國聯邦調查局（FBI）也警告多家企業，中國駭客將一塊含有後門程式碼的晶片，嵌入到一家製造商生產的伺服器。

報導指出，三案件的共通點在於中國以及美商超微（Supermicro）。此外，美國情報單位得知後並未張揚，而是先緩解個別攻擊，再從中蒐集敵情。

彭博還報導，根據14名執法機關及情報組織有關的消息人士，2010年起美國政府就嚴密監控超微，2012年FBI又依據外國情報監控法案（FISA）進行反情蒐調查，包括監聽一小組超微員工的通訊內容。另一名消息人士指出，2018年，FBI又找來一組民間組織來協助分析超微有惡意晶片的伺服器。

2018年彭博報導雖聳動，但卻以大量匿名消息人士為基礎，從來沒有人看到過這塊問題主機板，許多安全專家，包括Google Project Zero的Travis Ormandy也曾提出質疑。此外，前情報局長Dan Coats及FBI局長Christopher Wray 否認有發生過此事。

和兩年前滿滿匿名消息來源的報導略為不同的是，彭博上周報導指，FPGA晶片廠商Altera安全長Mukul Kumar在一份報告當中指出，曾見過該款會連線回中國的間諜晶片。

彭博報導引述2018年時任FBI國安組助理組長的Jay Tabb指出，超微的例子顯示，美國公司在中國生產設備產品被動手腳的風險有多高，也說明了如果沒有完善的監控措施會導致什麼可怕後果。Tabb並說，中國政府此舉由來已久，美國公司、特別是矽谷業者不能再假裝沒有這回事。

上周The Register也引述一家前半導體廠商高層的宣稱，表示曾見過多國政府拿出這塊惡意晶片，他本人也握有證據。

超微再次否認這樁往事，表示彭博的報導是多篇零散、不精準的指控拼湊而成，再次集結許多經不起檢視的牽強結論。超微指出，國安局上個月就已針對彭博的新報導說明，無法證實這件事曾經發生過，這也和2018年的結論相同。超微再次宣告，該公司從頭到尾都不曾接獲美國政府、合作夥伴或客戶的通知。

超微並指出，彭博最新報導並未說明這些調查的結果，以及調查是否還有持續進行。重點是，新聞提及的美國政府單位，多年來仍持續採用該公司的產品。