Newsmax đã công bố một báo cáo điều tra dài, công phu, vào ngày 15/2, tiết lộ cách ĐCSTQ đã cấy các con dệp bí mật vào các thiết bị máy tính sản xuất tại Trung Quốc sau đó xuất sang Mỹ để thu thập thông tin tình báo. Đáng chú ý là việc này đã được thực hiện từ lâu, theo Vision Times.
Hình minh họa từ video của Al Jazeera English.
Báo cáo này dựa trên các cuộc phỏng vấn với hơn 50 cá nhân từ các cơ quan thực thi pháp luật, quân đội, quốc hội, cơ quan tình báo và khu vực tư nhân của Mỹ. Hầu hết mọi người yêu cầu không nêu tên để chia sẻ thông tin nhạy cảm.
Vào tháng 10/2018, “Bloomberg Business Week” là hãng tin đầu tiên báo cáo về việc Trung Quốc cấy các sản phẩm siêu vi vào bo mạch máy tính. Báo cáo chỉ ra rằng vào năm 2015, Apple và Amazon đã tìm thấy những con dệp trên các thiết bị mà họ đã mua. Sau đó, SuperMicro, Apple và Amazon đã công khai yêu cầu Bloomberg Businessweek rút lại báo cáo.
Nhiều báo cáo sau đó chỉ ra rằng báo cáo của Bloomberg Businessweek thực ra mới chỉ nắm bắt được một phần của chuỗi sự kiện lớn hơn mà các quan chức Mỹ đầu tiên nghi ngờ, sau đó tiến hành điều tra, giám sát và cố gắng quản lý việc Trung Quốc liên tục thao túng các sản phẩm của Super Micro.
Năm 2010, Bộ Quốc phòng Mỹ phát hiện ra rằng hàng nghìn máy chủ của họ đang gửi dữ liệu đến Trung Quốc thông qua các kích hoạt từ mã ẩn trong các chip xử lý trong quá trình khởi động máy.
Vào năm 2014, Intel phát hiện ra rằng một nhóm tin tặc Trung Quốc đã sử dụng các phần mềm độc hại tải từ trang web cập nhật của nhà cung cấp để công phá mạng của họ.
Vào năm 2015, Cục Điều tra Liên bang Mỹ đã đưa ra cảnh báo cho nhiều công ty rằng các đặc vụ Trung Quốc đã cài cắm một con chip có mã cửa hậu (back-door) trong máy chủ của nhà sản xuất.
Các cuộc tấn công rất khác nhau này có hai điểm chung là Trung Quốc và SuperMicro, nhà sản xuất phần cứng Super Micro Computer Inc. có trụ sở tại California. Các điệp viên Mỹ đã phát hiện ra các hoạt động này, nhưng về cơ bản họ vẫn cố gắng bảo mật khi chống lại mọi cuộc tấn công và tìm hiểu thêm về năng lực của Trung Quốc.
Theo 14 cựu quan chức thực thi pháp luật và tình báo quen thuộc với vấn đề này, việc Trung Quốc sử dụng các sản phẩm do SuperMicro sản xuất đã phải chịu sự giám sát của liên bang trong phần lớn thập kỷ qua. Những điều này cũng bao gồm cuộc điều tra phản gián của FBI, bắt đầu vào khoảng năm 2012. Theo 5 trong số các quan chức, các đặc vụ đã bắt đầu sử dụng lệnh ủy quyền có được theo Đạo luật Giám sát Tình báo Nước ngoài (FISA) để giám sát thông tin liên lạc của một nhóm nhỏ nhân viên công ty SuperMicro.
Cho dù cuộc điều tra vẫn đang tiếp tục và mô tả đầy đủ về những phát hiện của nó cũng không được biết, nhưng gần đây, vào năm 2018, theo các chuyên gia tư vấn từ hai công ty bảo mật, FBI đã yêu cầu khu vực tư nhân giúp phân tích thiết bị của AMD có chứa các con dệp được cấy thêm vào.
Cựu quan chức cấp cao của FBI Jay Tabb nói rằng “câu chuyện truyền kỳ” của SuperMicro đã chứng tỏ những rủi ro phổ biến của chuỗi cung ứng toàn cầu, và ông đồng ý đưa ra tuyên bố chung về sự can thiệp của Trung Quốc đối với các sản phẩm của công ty.
Ông Tabb cho biết: “SuperMicro là một ví dụ hoàn hảo minh chứng về việc bất kỳ sản phẩm nào mà một công ty Mỹ chọn sản xuất tại Trung Quốc đều rất dễ dàng bị soán cải một cách ác ý. Đây là ví dụ về tình huống tệ nhất khi bạn không có toàn quyền giám sát đối với nơi sản xuất thiết bị của mình”. Ông Tabb từng là Trợ lý điều hành Giám đốc Cục An ninh Quốc gia của FBI từ năm 2018 cho đến khi nghỉ hưu vào tháng 1/2020.
Ông Tabb từ chối thảo luận về nội dung cụ thể của cuộc điều tra của FBI: “Chính phủ Trung Quốc đã làm điều này trong một thời gian dài, và các công ty Mỹ cần phải biết rằng Trung Quốc đang làm điều này, và Thung lũng Silicon đặc biệt cần ngừng giả vờ rằng không có việc này đã xảy ra”.
Trong suốt quá trình này, các quan chức chính phủ đã che giấu những phát hiện của họ với công chúng. Theo 3 cựu quan chức Mỹ, bản thân SuperMicro cũng không được thông báo về cuộc điều tra phản gián của FBI.
Khi các cơ quan chính phủ Mỹ đưa ra cảnh báo cho các công ty nhất định và tìm kiếm sự trợ giúp từ các chuyên gia bên ngoài, công việc bảo mật đôi khi được dỡ bỏ.
Mike Janke, cựu thành viên đặc nhiệm SEAL và đồng sáng lập công ty đầu tư mạo hiểm DataTribe, cho biết: “Vào đầu năm 2018, hai công ty bảo mật mà tôi đang tư vấn đã bị bộ phận phản gián của FBI thông báo về tình hình bo mạch chủ SuperMicro bị gắn thêm chip độc hại. Hai công ty sau đó đã tham gia vào các cuộc điều tra của chính phủ. Họ đã sử dụng công nghệ pháp y phần cứng tiên tiến trên các bo mạch chủ SuperMicro đã bị soán cải để kiểm chứng việc tồn tại các chip độc hại bị gắn thêm”.
Công ty của Janke đã nuôi dưỡng các công ty khởi nghiệp với các cựu thành viên của cộng đồng tình báo Mỹ. Ông nói rằng hai công ty không được phép nói về công việc này một cách công khai, nhưng họ đã chia sẻ với ông các chi tiết về phân tích của họ. Ông đồng ý thảo luận về các phát hiện của họ nói chung để nâng cao nhận thức về mối đe dọa gián điệp của Trung Quốc trong chuỗi cung ứng công nghệ.
Cả SuperMicro và bất kỳ nhân viên nào của công ty đều không bị cáo buộc có hành vi sai trái và cựu quan chức Mỹ cung cấp thông tin cho báo cáo này nhấn mạnh rằng bản thân công ty này không phải là mục tiêu của bất kỳ cuộc điều tra phản gián nào.
Đáp lại, Super Micro tuyên bố, “Chính phủ Mỹ hoặc bất kỳ khách hàng nào của chúng tôi chưa bao giờ liên hệ với chúng tôi về cái gọi là cuộc điều tra này”. Công ty nói rằng Bloomberg đã tập hợp “các cáo buộc vô lý, không chính xác và đưa ra kết luận xa vời”. Công ty nói rằng các cơ quan liên bang, bao gồm cả những cơ quan đang bị điều tra được mô tả trong bài báo này, vẫn đang mua các sản phẩm của SuperMicro. Ông cũng chỉ ra rằng báo cáo về cuộc điều tra phản gián này thiếu chi tiết đầy đủ, bao gồm cả kết quả của cuộc điều tra và liệu nó có đang diễn ra hay không.
Xâm nhập trái phép
Super Micro được thành lập vào năm 1993 bởi Charles Liang, một người Đài Loan nhập cư vào Mỹ, nhằm tận dụng lợi thế của chuỗi cung ứng toàn cầu. Nhiều bo mạch chủ, tấm wafer (đĩa bán dẫn, một linh kiện trong máy tính) và các sản phẩm điện tử hiện đại của công ty được sản xuất bởi các nhà thầu ở Trung Quốc và sau đó được lắp ráp vào các máy chủ ở Mỹ và các nơi khác.
Doanh thu năm ngoái của công ty này là 3,3 tỷ đô la. Trong kỷ nguyên của điện toán đám mây, thiết bị máy tính của công ty đã trở nên phổ biến. Bo mạch chủ của nó được sử dụng trong các sản phẩm từ máy quét hình ảnh y tế đến thiết bị an ninh mạng. Super Micro từ chối trả lời câu hỏi về việc liệu họ có phụ thuộc vào các nhà sản xuất theo hợp đồng Trung Quốc hiện nay hay không.
Trong một tiết lộ bất thường vào tháng 5/2019, SuperMicro nói với các nhà đầu tư rằng mạng máy tính của họ đã bị tấn công trong nhiều năm. Công ty viết: “Trong khoảng thời gian từ năm 2011 đến năm 2018, mạng của chúng tôi đã xảy ra các vụ xâm nhập trái phép. Những vụ xâm nhập này, riêng lẻ hoặc tập thể, không gây ra bất kỳ tác động bất lợi đáng kể nào đối với hoạt động kinh doanh, hoạt động hoặc sản phẩm của chúng tôi”. Công ty đã không trả lời các yêu cầu để biết thêm chi tiết về những cuộc xâm nhập này.
Trước khi các sản phẩm của SuperMicro liên tục bị chính phủ Mỹ giám sát, các quan chức liên bang đã bày tỏ lo ngại về vai trò hàng đầu của Trung Quốc trong ngành sản xuất điện tử toàn cầu.
Một nhà cung cấp khác của Ngũ Giác Đài thu hút sự chú ý là Công ty TNHH Tập đoàn Lenovo của Trung Quốc. Năm 2008, các nhà điều tra Mỹ phát hiện ra rằng phần cứng của máy tính xách tay Lenovo được sử dụng bởi các đơn vị quân đội Mỹ ở Iraq đã bị soán cải. Khám phá này sau đó đã xuất hiện trong lời khai ít được biết đến trong các vụ án hình sự của Mỹ – một mô tả công khai hiếm hoi về các hacker phần cứng từ Trung Quốc.
Lee Chieffalo, người quản lý một trung tâm hoạt động mạng của Thủy quân lục chiến gần Fallujah, Iraq, đã làm chứng trong vụ án năm 2010: “Một số lượng lớn máy tính xách tay Lenovo đã được bán cho quân đội Mỹ. Có một con chip được mã hóa trên bo mạch chủ của những chiếc máy tính xách tay này sẽ ghi lại tất cả dữ liệu mà máy tính xách tay nhập vào và gửi về Trung Quốc. Đó là một lỗ hổng bảo mật lớn. Chúng tôi không biết họ lấy được bao nhiêu dữ liệu, nhưng chúng tôi đã phải xóa tất cả các hệ thống này khỏi mạng”.
Ba cựu quan chức Mỹ đã xác nhận mô tả của Chiefalo về việc thêm tấm wafer vào bo mạch chủ của Lenovo. Họ nói rằng tình tiết này là một lời cảnh báo đối với chính phủ Mỹ về những thay đổi phần cứng.
Người phát ngôn của Lenovo, Charlotte West cho biết trong một email rằng Lenovo không biết về lời khai này và quân đội Mỹ đã không nói với công ty về bất kỳ vấn đề an toàn nào với các sản phẩm của họ. West cũng nói rằng các quan chức Mỹ đã tiến hành một “cuộc điều tra sâu rộng” về lý lịch và uy tín của Lenovo khi xem xét việc Lenovo mua lại IBM và hoạt động kinh doanh của Google vào năm 2014. Cả hai thương vụ mua lại đều được chấp thuận.
West cho biết: “Vì không có báo cáo nào về vấn đề này, chúng tôi không thể đánh giá các cáo buộc mà bạn đã trích dẫn, cũng như không thể đánh giá liệu vấn đề an ninh có thể là do sự can thiệp của bên thứ ba hay không”.
Ba quan chức Mỹ cho biết, sau vụ phát hiện năm 2008, Bộ Quốc phòng Mỹ đã âm thầm chặn phần cứng của Lenovo khỏi một số dự án nhạy cảm, nhưng không loại bỏ nó khỏi danh sách các nhà cung cấp được Ngũ Giác Đài phê duyệt.
Năm 2018, Lục quân và Không quân Mỹ đã mua các sản phẩm của Lenovo trị giá 2,2 triệu USD. Tổng thanh tra của Ngũ Giác Đài đã chỉ trích những giao dịch mua này trong một báo cáo vào năm 2019, trong đó đề cập đến “những rủi ro an ninh mạng đã biết”.
Theo báo cáo, Bộ Quốc phòng Mỹ cần một quy trình tốt hơn để đánh giá việc mua công nghệ và thực hiện các lệnh cấm khi cần thiết.
Tấn công Ngũ Giác Đài
Khoảng đầu năm 2010, một nhóm bảo mật tại Ngũ Giác Đài nhận thấy hành vi bất thường của máy chủ SuperMicro trong mạng chưa được bảo mật của nó.
Theo sáu cựu quan chức cấp cao mô tả cuộc điều tra bí mật về vụ việc, những chiếc máy này được phát hiện đã tải trái phép các lệnh hướng dẫn mỗi máy bí mật sao chép dữ liệu về bản thân và mạng của nó và gửi thông tin này đến Trung Quốc. Một quan chức nói rằng Ngũ Giác Đài đã tìm thấy thiết bị cấy ghép trong hàng nghìn máy chủ; một quan chức khác mô tả nó là “phổ biến”.
Các quan chức này cho biết các nhà điều tra đã cáo buộc các cơ quan tình báo Trung Quốc. Một cựu quan chức cấp cao của Ngũ Giác Đài nói rằng điều này “không có gì mơ hồ”.
Không có bằng chứng cho thấy thiết bị cấy ghép đã đánh cắp thông tin chi tiết của bất kỳ hoạt động quân sự nào. Nhưng kẻ tấn công đã lấy được một thứ có giá trị: dữ liệu tương đương với phần chưa được phân loại (bảo mật) của mạng Bộ Quốc phòng. Các nhà phân tích cũng lo lắng rằng thiết bị cấy ghép này – mà kẻ tấn công đã cẩn thận cất giấu – có thể là một vũ khí kỹ thuật số có thể tắt các hệ thống này trong cuộc xung đột.
Theo ba quan chức quen thuộc với vấn đề này, vào năm 2013, nhà lãnh đạo Mỹ đã quyết định giữ bí mật về phát hiện và để cuộc tấn công diễn ra nhằm xác định mục tiêu cuối cùng của Trung Quốc. Các quan chức này nói rằng Keith Alexander, khi đó là Giám đốc Cơ quan An ninh Quốc gia, đóng vai trò trung tâm trong quyết định này. Hai trong số các quan chức nói rằng Ngũ Giác Đài đã nghĩ ra các biện pháp đối phó không thể phát hiện được để bảo vệ mạng của mình.
Hai quan chức nói rằng những hành động này cho phép các điệp viên của Mỹ bắt đầu thu thập thông tin tình báo về các kế hoạch của Trung Quốc mà không làm phiền Bắc Kinh.
Người phát ngôn của Alexander đã chuyển câu hỏi đến Cơ quan An ninh Quốc gia. Ngoại trừ tuyên bố được gửi một lần, cơ quan này từ chối bình luận: “Cục An ninh Quốc gia không thể xác nhận liệu sự cố này hay các hành động phản ứng tiếp theo có xảy ra hay không”.
Một quan chức cấp cao của Tòa Bạch Ốc từ chối bình luận về thông tin trong báo cáo này. Quan chức này cho biết trong một tuyên bố qua email: “Chúng tôi sẽ không bình luận về vấn đề cụ thể này. Về vấn đề chung, Tổng thống đã hứa rằng chính phủ của ông sẽ tiến hành đánh giá chuỗi cung ứng sâu rộng về các mặt hàng và lĩnh vực khác nhau. Để xác định các rủi ro an ninh quốc gia chính . Khi chúng tôi sẵn sàng chia sẻ, chúng tôi sẽ có thêm thông tin chi tiết về bài đánh giá”
Các cơ quan liên bang khác, bao gồm Văn phòng Giám đốc Tình báo Quốc gia, Bộ An ninh Nội địa và FBI, từ chối bình luận về báo cáo này.
Người phát ngôn của Bộ Quốc phòng cho biết các quan chức thường không bình luận về các cuộc điều tra, các vấn đề tình báo hoặc các nhà cung cấp cụ thể. Trả lời các câu hỏi về cuộc khảo sát năm 2010 của Lầu Năm Góc, một quan chức nói rằng chính phủ đang tìm cách bảo vệ chuỗi cung ứng của mình.
Bà Ellen Lord, người từng là Thứ trưởng Bộ Quốc phòng phụ trách Mua sắm trước khi từ chức vào ngày 20/1, cho biết: “Trước những nỗ lực đối đầu, Bộ Quốc phòng đã thực hiện nhiều biện pháp để liên tục cố gắng loại trừ các sản phẩm hoặc công ty có nguy cơ đe dọa đến an ninh quốc gia của chúng ta”. Bà không nêu tên SuperMicro hay bất kỳ công ty nào khác”.
Khi họ điều tra trung tâm dữ liệu của Ngũ Giác Đài, các quan chức chính phủ đã thực hiện các biện pháp thận trọng để cố gắng ngăn chặn việc sử dụng các sản phẩm siêu vi ultramicro trong các mạng an ninh quốc gia nhạy cảm – mặc dù công ty vẫn nằm trong danh sách công khai các nhà cung cấp được phê duyệt.
Adrian Gardner, cựu giám đốc thông tin của Trung tâm Chuyến bay Vũ trụ Goddard của NASA ở Greenbelt, Maryland, cho biết trước khi rời NASA vào năm 2013, khi xem xét hệ thống máy tính của Goddard, anh đã biết được mối quan ngại của các cơ quan tình báo về các sản phẩm của SuperMicro.
Gardner từ chối thảo luận về những gì ông được nói và liệu NASA có loại bỏ bất kỳ phần cứng nào hay không. Nhưng ông nói rằng thông điệp rất rõ ràng: “Chính phủ Mỹ phải sử dụng mọi phương pháp kiểm soát theo ý của mình để đảm bảo rằng họ không triển khai thiết bị siêu vi mô trong hệ thống tài sản giá trị cao và mạng nhạy cảm”.
Các tổ chức của Mỹ tiếp tục mua các sản phẩm của SuperMicro. Theo thông cáo báo chí do công ty phát hành, Trung tâm Goddard của NASA đã mua một số cho một mạng lưới chưa được phân loại dành riêng cho nghiên cứu khí hậu vào năm 2017. Năm ngoái, Phòng thí nghiệm Quốc gia Lawrence Livermore, đơn vị có liên quan đến bí mật vũ khí hạt nhân, đã mua thiết bị siêu vi mô để nghiên cứu về COVID-19.
Mã tùy chỉnh
Khi các chuyên gia quân sự điều tra các lỗ hổng của Ngũ Giác Đài, họ xác định rằng các đoạn mã độc hại điều khiển các máy chủ của Ngũ Giác Đài được ẩn giấu trong hệ thống nhập – xuất thông tin của máy.
Hai người có kiến thức trực tiếp về vấn đề này cho biết chương trình được cài cắm này kết hợp hai đoạn mã: Đoạn đầu tiên được nhúng trong hướng dẫn quản lý trình tự khởi động và không thể dễ dàng xóa hoặc cập nhật. Mã này ghi lại các hướng dẫn bổ sung, được ẩn trong bộ nhớ không sử dụng của chip BIOS và ngay cả những khách hàng am hiểu về bảo mật cũng không thể tìm thấy chúng. Khi máy chủ được bật, bộ cấy được tải vào bộ nhớ chính của máy, nơi nó liên tục gửi dữ liệu theo định kỳ.
Các nhà sản xuất như SuperMicro thường ủy quyền hầu hết mã BIOS cho bên thứ ba. Nhưng theo sáu cựu quan chức Mỹ, các chuyên gia chính phủ xác định rằng một số thiết bị cấy ghép nằm trong các mã do các công nhân liên kết với SuperMicro tùy chỉnh.
Các nhà điều tra đã kiểm tra mã BIOS trong các máy chủ của Bộ Quốc phòng do các nhà cung cấp khác thực hiện và không tìm thấy vấn đề nào tương tự. Và họ đã tìm thấy cùng một mã bất thường trong các máy chủ SuperMicro được sản xuất vào các thời điểm khác nhau ở các nhà máy khác nhau, điều này cho thấy rằng thiết bị cấy ghép đã được đưa vào trong giai đoạn thiết kế.
Sáu quan chức nói rằng về tổng thể, những phát hiện này chỉ ra sự xâm nhập vào dự án BIOS của SuperMicro bởi các cơ quan tình báo Trung Quốc.
Theo 5 cựu quan chức Mỹ, vào năm 2012, FBI đã mở một cuộc điều tra phản gián. Các đặc vụ tại văn phòng hiện trường San Francisco đã sử dụng lệnh ủy quyền của Đạo luật Giám sát Tình báo Nước ngoài để theo dõi liên lạc của một số cá nhân liên quan đến SuperMicro.
Ba trong số các quan chức nói rằng FBI có bằng chứng cho thấy công ty đã bị những người làm việc cho Trung Quốc thâm nhập một cách có chủ đích hoặc vô ý. Họ từ chối cung cấp bằng chứng.
Các quan chức nói rằng “Đạo luật giám sát tình báo nước ngoài” cho phép các mục tiêu giám sát, bao gồm các cá nhân có khả năng thay đổi công nghệ của công ty, và không chú ý đến các nhà quản lý cấp cao.
Chưa Biết cuộc giám sát này kéo dài bao lâu. Bộ Tư pháp vẫn chưa thừa nhận cuộc điều tra này, cũng như không công bố bất kỳ cáo buộc nào liên quan đến nó. Các cuộc điều tra phản gián được thiết kế để giám sát và phá vỡ các hoạt động tình báo nước ngoài tại Hoa Kỳ, và hiếm khi dẫn đến các vụ án hình sự.
Đến năm 2014, các nhà điều tra trong chính phủ Mỹ đang tìm kiếm bất kỳ hình thức thao túng bổ sung nào – như một cựu quan chức Ngũ Giác Đài nói, họ có thể đã bỏ sót điều gì đó. Trong vòng vài tháng, thông qua thông tin do các cơ quan tình báo Mỹ cung cấp, FBI đã phát hiện ra một loại thiết bị bị sửa đổi khác: gắn thêm chip độc hại vào bo mạch chủ của SuperMicro.
Đã đưa ra cảnh báo
Theo 7 cựu quan chức Mỹ được báo cáo tóm tắt từ năm 2014 đến 2017, các chuyên gia chính phủ tin rằng việc sử dụng các thiết bị này là một bước tiến lớn trong khả năng hack phần cứng của Trung Quốc. Các quan chức này nói rằng những con chip này chỉ tiêm một lượng nhỏ mã vào máy, mở ra cánh cửa cho những kẻ tấn công.
Hai quan chức nói rằng theo thời gian, các bo mạch chủ có thêm tấm lót wafer với số lượng nhỏ đã được phát hiện và nhiều sản phẩm siêu vi ultramicro không bao gồm các tấm lót wafer này.
Bị sốc trước sự phức tạp của các thiết bị này, các quan chức đã chọn cảnh báo một số lượng nhỏ các mục tiêu tiềm năng trong thông báo và chỉ ra tên SuperMicro. Các giám đốc điều hành từ 10 công ty và một công ty tiện ích lớn của thành phố nói với Bloomberg News rằng họ đã nhận được những cảnh báo như vậy. Mặc dù hầu hết các giám đốc điều hành yêu cầu không nêu tên các vấn đề an ninh mạng nhạy cảm, một số giám đốc điều hành đã đồng ý thảo luận công khai về chúng.
Mukul Kumar cho biết: “Đây là hoạt động tấn công vào chính bo mạch chủ. Có một con chip trên bo mạch chủ không nên ở đó, báo cáo cho máy chủ Home – Home không phải là của SuperMicro mà của Trung Quốc”. Ông đã nhận được cảnh báo này vào năm 2015 trong một cuộc họp giao ban vào năm 2009 khi ông là giám đốc an ninh của Altera, một công ty thiết kế wafer ở San Jose.
Kumar nói rằng Altera được Intel mua lại vào tháng 12/2015. Nó không sử dụng các sản phẩm của SuperMicro nên công ty xác định rằng mình không gặp rủi ro.
Kumar cũng nói rằng khi cuộc họp kết thúc, ông được biết rằng các đồng nghiệp của mình ở hai công ty bán dẫn khác ở Thung lũng Silicon cũng nhận được cảnh báo tương tự từ FBI. Khi nói về cuộc thảo luận của mình với các nhân viên FBI, Kumar nói: “Các đặc vụ nói rằng đây không phải là trường hợp xảy ra một lần. Họ nói rằng nó đã ảnh hưởng đến hàng nghìn máy chủ”.
Hiện vẫn chưa rõ có bao nhiêu công ty đã bị ảnh hưởng bởi các cuộc tấn công wafer mới. Báo cáo năm 2018 của Bloomberg dẫn lời một quan chức tin rằng con số gần 30, nhưng không khách hàng nào thừa nhận rằng chip độc hại đã được tìm thấy trên bo mạch chủ SuperMicro.
Một số giám đốc điều hành nhận được cảnh báo nói rằng thông tin chứa quá ít chi tiết về cách tìm bất kỳ tấm wafer gián điệp nào. Hai cựu quan chức cấp cao cho biết các chi tiết kỹ thuật được giữ bí mật.
Mike Quinn, một giám đốc điều hành an ninh mạng từng đảm nhiệm các vị trí cấp cao tại Cisco Systems Inc. và Microsoft, nói rằng các quan chức từ Không quân Mỹ đã giới thiệu với ông về việc chip gián điệp gắn trên bo mạch chủ của SuperMicro. Quinn làm việc cho một công ty là nhà thầu tiềm năng cho hợp đồng Không quân, và các quan chức này muốn đảm bảo rằng bất kỳ công việc nào không sử dụng thiết bị của SuperMicro.
Bloomberg đồng ý không nêu rõ thời điểm Quinn nhận được cuộc họp, cũng như không tiết lộ ông làm việc cho công ty nào vào thời điểm đó.
Quinn nói: “Đây không phải là trường hợp ai đó ăn cắp bo mạch chủ và hàn tấm wafer trong phòng khách sạn. Nó được tích hợp vào thiết bị cuối cùng”, ông nhớ lại các chi tiết do quan chức Không quân cung cấp. Ông nói rằng tấm wafer “được trộn nhiều lớp vào bo mạch chủ”.
Quinn cũng cho biết: “Kẻ tấn công biết bo mạch chủ được thiết kế như thế nào, vì vậy nó có thể vượt qua bài kiểm tra đảm bảo chất lượng”.
Người phát ngôn của Lực lượng Không quân cho biết trong email rằng thiết bị AMD không bị loại khỏi hợp đồng của Không quân Mỹ theo bất kỳ ủy quyền pháp lý công khai nào. Ông nói rằng nói chung, Bộ Quốc phòng có các lựa chọn không tiết lộ để quản lý rủi ro chuỗi cung ứng trong các hợp đồng với hệ thống an ninh quốc gia.
Cảnh báo về các tấm wafer mới không chỉ giới hạn ở khu vực tư nhân. Các cựu giám đốc thông tin của bốn cơ quan Mỹ nói với Bloomberg rằng từ năm 2015 đến năm 2017, họ đã tham gia một cuộc họp giao ban do Bộ Quốc phòng cung cấp về việc bo mạch chủ AMD bị gắn thêm tấm nền wafer.
Theo Yang Ke, cố vấn của hai công ty đã hỗ trợ phân tích, FBI đang kiểm tra các mẫu bo mạch chủ SuperMicro đã được chế tác vào năm 2018.
Darren Mott chịu trách nhiệm giám sát các cuộc điều tra phản gián tại văn phòng vệ tinh của FBI ở Huntsville, Alabama. Ông nói rằng vào tháng 10/2018, một đồng nghiệp FBI đã mô tả cho ông về việc bổ sung các tinh thể quan trọng của meta.
Mott, người đã nghỉ hưu, cho biết: “Những gì tôi được biết là có một thành phần nhỏ trên bo mạch chủ không nên tồn tại. FBI biết rằng những hoạt động này do Trung Quốc thực hiện và biết đó là lý do đáng lo ngại, và cảnh báo một số đơn vị thực thể đáng chú ý”. Ông nhấn mạnh rằng thông tin này được chia sẻ trong môi trường không bảo mật.
Mott nói rằng vào thời điểm đó, ông đã đề nghị công ty đã hỏi ông về Epistar hãy đối đãi vấn đề này một cách nghiêm túc.
Thay đổi bản cập nhật
Các nhà điều tra của công ty đã phát hiện ra một cách khác để tin tặc Trung Quốc sử dụng các sản phẩm của SuperMicro. Vào năm 2014, các giám đốc điều hành của Intel đã lần ra một lỗ hổng bảo mật trong mạng của họ đối với một bản cập nhật firmware (chương trình điều khiển thiết bị máy tính) thường xuyên được tải xuống từ trang web của SuperMicro.
Các giám đốc điều hành bảo mật của Intel, dựa trên các slide thuyết trình mà họ đã gửi cho một cuộc tập hợp các đồng nghiệp trong ngành công nghệ vào năm 2015, kết luận rằng một tổ chức hacker ưu tú của Trung Quốc đã thực hiện vụ tấn công. Hai người tham gia đồng ý chia sẻ các chi tiết của bài thuyết trình.
Trước những câu hỏi về vụ việc, người phát ngôn của Intel cho biết, sự cố được phát hiện sớm và không gây mất dữ liệu.
Người phát ngôn của hãng, Tara Smith cho biết: “Vào năm 2014, bộ phận CNTT của Intel đã phát hiện và nhanh chóng giải quyết vấn đề. Trên hai hệ thống có trong mạng của chúng tôi, vấn đề không được tìm thấy trong phần mềm của Intel. Mạng và dữ liệu của chúng tôi không bị ảnh hưởng”. Bà từ chối trả lời chi tiết.
Theo những người đã xem các trang thuyết trình, bản thuyết trình của Intel tập trung vào danh tính của những kẻ tấn công và việc chúng sử dụng trang web cập nhật của nhà cung cấp đáng tin cậy. Theo một người quen thuộc với vấn đề này, một người liên lạc trong cộng đồng tình báo Mỹ đã đưa ra cảnh báo về lỗ hổng bảo mật cho công ty. Manh mối này đã giúp các nhà điều tra của Intel xác định rằng kẻ tấn công đến từ một tổ chức được nhà nước Trung Quốc hậu thuẫn có tên APT 17.
Theo các công ty an ninh mạng bao gồm Symantec và FireEye, APT 17 rất giỏi trong các cuộc tấn công chuỗi cung ứng phức tạp và nó thường tấn công nhiều mục tiêu để tiếp cận nạn nhân mục tiêu. Vào năm 2012, tổ chức này đã xâm nhập vào công ty an ninh mạng Bit9 để tiếp cận các nhà thầu quốc phòng được bảo vệ bởi các sản phẩm Bit9.
Các nhà điều tra của Intel đã phát hiện ra rằng một máy chủ SuperMicro đã bắt đầu giao tiếp với APT 17 ngay sau khi nhận được bản vá phần sụn từ trang web cập nhật do SuperMicro thiết lập cho khách hàng của mình. Theo mô tả được Intel giới thiệu, bản thân phần sụn không bị giả mạo và phần mềm độc hại đến như một phần của tệp nén (ZIP) được tải xuống trực tiếp từ trang web.
Cơ chế phân phối này tương tự như cơ chế được sử dụng trong vụ hack SolarWinds gần đây. Người ta cáo buộc rằng người Nga đã sử dụng các bản cập nhật phần mềm để nhắm vào các cơ quan chính phủ và các công ty tư nhân. Nhưng có một điểm khác biệt chính: Trong trường hợp của Intel, phần mềm độc hại ban đầu chỉ xuất hiện trên một trong số hàng nghìn máy chủ của công ty – và chỉ trên một máy chủ khác vài tháng sau đó. Các nhà điều tra của Intel kết luận rằng những kẻ tấn công có thể nhắm mục tiêu vào các máy cụ thể, làm giảm đáng kể khả năng bị phát hiện. Ngược lại, mã độc đã đến với 18.000 người dùng SolarWinds.
Theo mô tả được giới thiệu bởi công ty, các giám đốc điều hành của Intel đã thông báo với SuperMicro về cuộc tấn công ngay sau đó.
Super Micro đã không trả lời các câu hỏi chi tiết về vụ việc, nhưng cho biết: “Intel đã đưa ra một vấn đề mà chúng tôi không thể xác minh, nhưng vì thận trọng, chúng tôi đã nhanh chóng có biện pháp xử lý”. Hai công ty tiếp tục tiến hành nhiều hoạt động kinh doanh giao dịch với nhau.
Theo hai nhà tư vấn tham gia cuộc điều tra của công ty và không muốn nêu tên, sau sự cố của Intel, các vi phạm liên quan đến việc cập nhật trang web của SuperMicro vẫn tiếp tục.
Trong các sự cố của hai công ty không phải của Mỹ, một là vào năm 2015 và một là vào năm 2018, theo một người đã tư vấn về hai sự cố, kẻ tấn công đã xâm nhập một máy chủ SuperMicro bằng cách cập nhật trang web của thiết bị. Theo người này, hai công ty này có liên quan đến ngành thép và ông từ chối tiết lộ danh tính của họ với lý do thỏa thuận bảo mật. Người này nói rằng nghi phạm chính trong cuộc xâm nhập là ĐCSTQ.
Theo một nhà tư vấn tham gia cuộc điều tra, năm 2018, một nhà sản xuất theo hợp đồng lớn của Mỹ đã tìm thấy mã độc trong bản cập nhật BIOS của trang web SuperMicro, nhà tư vấn từ chối tiết lộ tên nhà sản xuất. Bloomberg đã xem xét một phần của báo cáo điều tra.
Không rõ liệu ba công ty có thông báo cho SuperMicro về vấn đề cập nhật trang web của họ hay không và SuperMicro đã không trả lời các câu hỏi liên quan.
Ngày nay, khi vụ hack SolarWinds vẫn đang được điều tra, các vấn đề an ninh quốc gia liên quan đến chuỗi cung ứng công nghệ đã bùng phát thành chính trị Mỹ. Các quan chức Mỹ kêu gọi giám sát chuỗi cung ứng chặt chẽ hơn và thuyết phục các nhà sản xuất đảm bảo an toàn cho mã và phần cứng của họ.
Frank Figliuzzi cho biết: “Câu chuyện bi thảm của SuperMicro là một lời cảnh tỉnh cho ngành.” Ông từng là trợ lý giám đốc cục phản gián của FBI cho đến năm 2012. Figruzi từ chối thảo luận về các chi tiết cụ thể, nhưng đồng ý đàm luận công khai về ảnh hưởng của lịch sử soán cải của Trung Quốc qua trường hợp SuperMicro.
Ông nói: “Nếu quý vị nghĩ rằng câu chuyện này chỉ liên quan đến một công ty, quý vị đã bỏ qua trọng điểm. Đối với bất kỳ ai trong chuỗi cung ứng của ngành công nghệ, đây chính là thời khắc không để sự tình này phát sinh trên thân quý vị”.