彭博商業周刊(Bloomberg Businessweek)調查發現,中國駭客2015年對美國企業發動目前已知最重大的供應鏈攻擊,在亞馬遜、蘋果等大企業的資料中心伺服器植入微晶片。除了亞馬遜公司(Amazon.com Inc.)和蘋果公司(Apple Inc.)外,還有近30家公司遭攻擊,其中包括一家大型銀行和多家美國政府包商。
美國官員表示,駭客的目標是挖掘敏感的公司交易機密,以及政府包商電腦網路所儲存的國家安全資料。
知悉調查情況的數名美國官員表示,入侵行動來自中國人民解放軍在伺服器製造過程中植入的微晶片。美方機關追蹤這些晶片,一路查到為超微電腦公司(Super Micro Computer Inc.)生產主機板的數家轉包工廠。
總部位於加州聖荷西(San Jose)的超微電腦創立於1993年,和中國包商合作密切,2015年時已在全球100國擁有逾900家客戶,成為入侵大量敏感目標的管道。
早在美國企業發現駭客攻擊的證據前,美方情報來源就曾提報,中國間諜計畫將惡意微晶片引入供應鏈。美國官員2014年上半年向白宮報告調查發現的突破—中國軍方準備在超微電腦銷往美國的主機板插入晶片。
亞馬遜2015年無意間發現伺服器遭駭。代表亞馬遜進行測試的人員發現一片極小的微晶片,比一顆稻穀大不了多少,而且並非伺服器原始設計的一部分。
亞馬遜的資安團隊還發現,旗下雲端服務平台亞馬遜網路服務(Amazon Web Services)在中國境內的伺服器主機板遭改裝。蘋果同年也在公司網絡內發現被人加裝的晶片。
亞馬遜、蘋果和超微電腦對彭博商業周刊的報導摘要提出質疑。不過該周刊表示,採訪歷時一年多,進行逾100次的訪談,共有17人證實,超微電腦的硬體被人動手腳,另有其他地方也遭攻擊。
在超微電腦伺服器中發現的晶片,被人用機器焊接在主機板上聯接基板管理控制器的匯流排。基板管理控制器為系統創造一個故意的後門,讓管理員可從遠端登入伺服器,甚至是已當機或關閉的伺服器。
讓晶片連結到基板管理控制器,可讓攻擊者進行兩項重要工作,一是和網路上的不明電腦進行背景連線通訊(phoning home),二是直接對作業系統的內核程式輸入少許指令內容,然後修改內核程式,使其接受進一步的更改。
透過植入的晶片,駭客可滲入伺服器中受到最週延保護的程式碼,欺騙作業系統,以為晶片所下達的一切指令都經過授權。
一般伺服器會安排一處未受病毒攻擊的儲存區域,以供未來探測目標網絡。因為資料中心擁有數以千計的相同伺服器,駭客只要在其中一台設置據點,就能假設未來可以進行長期探查任務,掃描目標網絡的配置情況,然後將資料傳回駭客大本營,被抓的風險卻不高。
駭客的終極目標是找到網路路由器、開關、能進入網絡保護區的伺服器等具較高價值的目標。
熟知美國政府調查進展的消息人士表示,超微電腦硬體所遭到的攻擊情況顯示,中國政府允許間諜滲透位於其本土的工廠,改裝輸往美國或其他國家的電腦硬體。
報導指出,前述手法難度高且大膽,幾乎不會有組織不厭其煩檢查電腦硬體是否被動過手腳。
沒有留言:
張貼留言