The Big Hack(3/4): Các ‘chip độc’ của Trung Hoa được cấy ghép lên
máy chủ của chính phủ Mỹ và các công ty lớn như thế nào?
(Bị dị ứng với TQ: nước ở giữa, bọn ở chung quanh là lũ man di, mọi rợ. Tôi đã đổi TQ thành Trung Hoa.)
Tính bảo mật của chuỗi cung ứng công nghệ toàn cầu đã
bị xâm
phạm, nhưng hầu hết các công ty và người tiêu dùng đều không biết. (Ảnh minh họa: Pixabay)
The Big Hack: Các
‘chip độc’ của Trung Hoa được cấy ghép lên máy chủ của chính phủ Mỹ và
các công ty lớn như thế nào?
(Phần 3)
Ánh Dương • 21:58, 09/07/20 • 380 lượt xem
Các điệp viên công nghệ cao Trung Hoa đã tấn công chính phủ và gần 30 công ty của Mỹ, bao gồm cả các “ông lớn” như Amazon và Apple, bằng cách xâm nhập thông qua chuỗi cung ứng thiết bị công nghệ Hoa Kỳ, theo các nguồn tin từ chính phủ và các doanh nghiệp của Hoa Kỳ.
Tính bảo mật của chuỗi cung ứng công nghệ toàn cầu đã bị xâm phạm, nhưng hầu hết các công ty và người dùng đều không biết
Ngay trước khi bằng chứng về vụ tấn công xuất hiện trong mạng lưới của
các công ty Hoa Kỳ, các nguồn tin tình báo Mỹ đã có báo cáo rằng các điệp viên của Trung Hoa có kế hoạch đưa các vi mạch độc hại vào chuỗi cung ứng công nghệ Hoa Kỳ. Các nguồn tin này đã không
được xác định cụ thể, nhưng hàng năm vẫn có hàng triệu các bo mạch chủ được chuyển đến Hoa Kỳ, theo một người thạo
tin cung cấp.
Nhưng trong nửa đầu năm 2014, một người khác đã thông
báo về các cuộc thảo luận cấp cao cho biết, các quan chức tình báo đã đến Nhà Trắng với một điều cụ thể hơn: quân
đội
Trung Hoa đã chuẩn bị đưa chip
độc hại vào các bo mạch chủ
Supermicro để giao cho các
công ty của Hoa Kỳ.
Supermicro
Super Micro Computer, Inc, doing business as Supermicro,
is an information technology company based in San Jose, California.
Supermicro's headquarters are located in Silicon Valley, with a manufacturing
space in the Netherlands and a Science and Technology Park in Taiwan.
Tính cụ thể của thông tin là
đáng chú ý, nhưng những thách thức mà nó đặt ra cũng tương đương. Đưa
ra một cảnh báo rộng rãi cho các
khách hàng của Supermicro, có thể sẽ làm tê liệt sản xuất của họ, một nhà sản xuất phần cứng lớn của Mỹ.
Đồng thời, những người hoạt động tình báo vẫn còn chưa rõ ràng là các hoạt động này nhắm đến đâu và mục đích cuối cùng là gì. Thêm vào đó, vẫn chưa có bất kỳ ai chính thức xác nhận rằng họ đã bị tấn công, do vậy FBI bị giới hạn trong cách mà họ có thể phản ứng.
Nhà Trắng đã
yêu cầu cập nhật định kỳ khi có bất cứ thông
tin mới nào,
một người
quen thuộc với các cuộc thảo luận đã nói.
Theo một người quen thuộc với những cuộc tấn công tương tự, Apple đã phát hiện ra những con chip đáng ngờ bên trong các máy chủ của Supermicro vào khoảng tháng 5 năm 2015. Hai trong số những người có chức vụ cao cấp của Apple cho
biết công ty đã báo cáo vụ việc với FBI nhưng vẫn giữ bí mật thông tin chi tiết về những gì họ đã phát hiện được, thậm chí họ giữ bí mật thông tin ngay cả trong nội bộ.
Các nhà điều tra của chính
phủ vẫn
đang tự mình truy tìm manh mối khi Amazon
phát hiện ra và cho họ quyền truy cập vào
phần cứng
đã bị phá hoại, theo một quan chức Hoa Kỳ. Điều này tạo ra một cơ hội vô
giá cho các cơ quan tình báo và FBI - sau đó họ đã tiến hành
một cuộc
điều tra đầy đủ dưới sự lãnh đạo của các nhóm phản gián
và an ninh mạng của họ - để xem các con chip trông như thế nào và chúng hoạt động ra sao.
Apple
Apple Inc. is an American multinational technology
company headquartered in Cupertino, California, that designs, develops, and
sells consumer electronics, computer software, and online services. It is
considered one of the Big Tech technology companies, alongside Amazon, Google,
Microsoft and Facebook
Theo một người nhìn
thấy một
báo cáo chi tiết do nhà thầu bảo mật của bên
thứ ba
chuẩn bị cho Amazon, cũng như một người thứ hai khác đã xem ảnh kỹ thuật số và
hình ảnh X-quang của các
con chip được đưa vào
một báo cáo được chuẩn bị bởi nhóm
bảo mật
của Amazon, thì những con chip
trên máy chủ Elemental được
thiết kế đặt tại nơi mà sao
cho kín đáo nhất có
thể.
Các con chip đó có màu xám hoặc màu trắng nhờ, trông chúng giống như các bộ ghép
tín hiệu điều hòa,
một thành
phần của bo mạch chủ phổ biến khác, hơn là vi mạch, và do đó chúng khó có thể được phát hiện nếu không có thiết bị chuyên dụng. Tùy
thuộc vào
mô hình của bảng mạch điện tử, mà các con chip có kích thước hơi khác nhau, cho thấy những kẻ tấn công đã cung cấp các loại chip độc khác nhau cho các nhà máy khác nhau với các lô hàng khác nhau.
Các quan chức quen thuộc với cuộc điều tra nói rằng vai trò ưu tiên của những con chip độc cấy ghép thêm như thế này là để mở những cánh cửa cho những kẻ tấn công khác có thể đi qua.
“Các cuộc tấn công
trên Phần cứng là
nói về quyền truy cập’’,
một trong những cựu quan chức cao cấp của chính phủ cho biết.
Nói một cách
đơn giản, bộ cấy trên
phần cứng
của Supermicro đã điều khiển các hướng dẫn vận hành
cốt lõi để cho máy
chủ biết
phải làm gì khi dữ liệu di chuyển
trên bo mạch chủ, hai
người quen thuộc với hoạt động chip nói.
Điều này xảy ra vào
một thời điểm quan trọng, khi các bit nhỏ của hệ điều hành đang được lưu trữ trong bộ nhớ tạm thời của
vi mạch trên đường đến bộ xử
lý trung tâm của máy chủ, CPU. Chip độc hại được đặt trên bảng mạch điện tử theo cách cho phép nó chỉnh sửa một cách hiệu quả cách sắp xếp thông tin đi qua, đưa vào mã của chính nó hoặc thay đổi thứ tự các hướng dẫn mà CPU phải tuân theo. Những thay đổi nhỏ có thể tạo ra hiệu ứng tai hại.
Vì những bộ cấy ghép là nhỏ, số lượng mã chúng chứa được cũng nhỏ. Nhưng chúng có khả năng thực hiện hai điều rất
quan trọng là:
(1)
cho phép thiết bị liên
lạc với một trong một số máy tính ẩn danh ở nơi khác trên internet được tải bằng mã phức tạp hơn; và
(2)
chuẩn bị cho hệ điều hành của thiết bị chấp nhận mã mới này.
Các chip bất hợp pháp
có thể làm
tất cả điều này
bởi vì
chúng được kết nối với bộ điều khiển quản lý baseboard, một loại superchip mà quản trị viên
sử dụng để đăng nhập từ xa vào các máy chủ có vấn đề, cho phép
họ truy cập vào
mã nhạy cảm nhất ngay cả trên các máy bị hỏng hoặc bị tắt.
Hệ thống này có thể cho phép những kẻ tấn công thay đổi cách thức hoạt động của thiết bị, theo từng dòng lệnh, tuy nhiên chúng muốn, không để ai khôn ngoan hơn. Để hiểu sức mạnh sẽ mang lại cho họ, hãy lấy ví dụ giả thuyết này:
Ở đâu đó trong hệ điều hành
Linux, chạy trên
nhiều máy chủ, là
mã cho phép người dùng
bằng cách xác minh mật khẩu đã
nhập với mã hóa được lưu trữ. Một con chip được cấy ghép có thể thay đổi một phần của mã đó để máy chủ không thể kiểm tra mật khẩu! Thế là một thiết bị bảo mật đã được mở ra cho bất kỳ ai và tất cả mọi người dùng
có thể truy cập được. Một con chip cũng có thể đánh cắp các khóa mã hóa đảm bảo liên lạc an toàn,
chặn các cập nhật bảo mật làm
vô hiệu hóa
cuộc tấn công và mở ra những con đường mới đến internet.
Nếu một số bất thường được phát hiện ra, nó có thể sẽ được bỏ qua và được cho là một sự kỳ lạ không giải thích được. “Phần cứng sẽ mở ra bất cứ cánh cửa nào
mà nó muốn’’, chuyên gia Joe FitzPatrick, người sáng lập của Hardware Security Resources LLC, một công ty đào
tạo các chuyên gia an ninh mạng trong các kỹ thuật hack phần cứng nói.
Hardware Security Resources LLC
Hardware Security
Resources, LLC offers courses, workshops, and curriculum to help introduce and
ramp existing software security experts and hardware validation experts into
the field of hardware security.
Các quan chức Hoa Kỳ đã bắt gặp Trung Hoa đang thử nghiệm phần cứng giả mạo trước
đó, nhưng họ chưa bao giờ đã từng thấy bất cứ điều gì có quy mô và tham vọng tương tự thế này. Tính bảo mật của chuỗi cung ứng công nghệ toàn
cầu đã bị xâm phạm, ngay cả khi người
tiêu dùng và hầu hết các công ty chưa biết điều đó. Điều còn
lại để các nhà điều tra tìm
hiểu là làm thế nào những kẻ tấn công đã thâm nhập triệt để vào
quá trình sản xuất Supermicro, và bao nhiêu cánh cửa mà chúng đã mở vào các mục tiêu của nước Mỹ.
Không
giống như
hack trên phần mềm, thao tác phần cứng tạo ra một dấu vết trong thế giới thực. Các thành phần để lại một biểu hiện của sự vận chuyển và các tờ hóa đơn.
Các bảng vi mạch điện tử có đánh số sê-ri
để theo
dõi các nhà máy cụ thể đã chế tạo nó.
Để theo
dõi đến nguồn gốc của
các con chip bị hỏng, các cơ quan tình báo Hoa Kỳ đã bắt đầu theo dõi
ngược lại
chuỗi cung ứng ngoằn ngoèo của Supermicro,
một người đã thông báo về bằng chứng
thu thập được trong cuộc thăm dò
đã cho biết.
Gần đây
như năm 2016, theo DigiTimes, một trang tin chuyên về nghiên
cứu chuỗi cung ứng, Supermicro có ba nhà sản xuất chính xây dựng bo mạch chủ của mình, hai trụ sở đặt tại Đài Loan và một ở Thượng Hải. Khi các nhà cung cấp như vậy bị quá tải với các
đơn đặt hàng
lớn, đôi
khi họ giao việc cho các nhà thầu phụ. Để đi sâu hơn nữa, các cơ quan tình báo của Hoa Kỳ đã sử dụng các
công cụ đặc biệt phi thường mà họ có.
Họ đã
sàng lọc thông
qua các cuộc liên
lạc, khai thác
thông tin ở Đài
Loan và Trung Quốc, thậm chí
theo dõi các cá nhân quan trọng thông qua điện thoại của họ, theo người được tóm tắt về bằng chứng thu thập được trong cuộc thăm dò. Cuối cùng, người đó
nói rằng, họ đã
truy tìm các con chip độc hại đến từ bốn nhà
máy thầu phụ đã
xây dựng bo mạch chủ Supermicro trong ít nhất hai năm.
DigiTimes
DigiTimes is a daily
newspaper for semiconductor, electronics, computer and communications
industries in Taiwan and the Greater China region. It was established in 1998.
Khi các
đặc vụ
theo dõi sự tương tác giữa các
quan chức Trung Quốc, các
nhà sản xuất bo mạch chủ và người trung gian, họ thoáng thấy quá
trình gieo hạt hoạt động như thế nào. Trong một số trường hợp, các
nhà quản lý
nhà máy đã được tiếp cận bởi những người tuyên bố đại diện cho Supermicro hoặc những người nắm giữ các vị trí
gợi ý kết nối với chính
phủ. Những
người trung gian sẽ yêu cầu thay đổi
thiết kế ban đầu của bo mạch chủ, ban đầu đưa ra các khoản hối lộ kết hợp với các yêu cầu bất thường của họ.
Nếu điều đó không có tác dụng, họ đã đe dọa các
nhà quản lý
nhà máy bằng các
cuộc kiểm
tra liên ngành mà có thể làm cho các nhà máy của họ buộc phải đóng cửa.
Sau khi sắp xếp xong, những người trung gian sẽ tổ chức
giao chip cho các nhà
máy.
Các nhà điều tra kết luận rằng kế hoạch phức tạp này là công việc của một đơn vị Quân đội Giải phóng Nhân dân TQ (PLA) chuyên tấn công phần cứng, theo hai người đã tóm tắt về các hoạt động của nó. Sự tồn tại của nhóm này chưa bao giờ được tiết lộ trước đây, nhưng một quan chức nói, “Chúng tôi đã theo dõi những kẻ này thực sự lâu hơn chúng tôi dự định’’.
Đơn vị này được cho là
tập
trung vào các mục tiêu ưu tiên cao, bao gồm công nghệ thương mại tiên
tiến và máy tính của quân đội đối thủ. Trong các
cuộc tấn
công trước đây, nó đã nhắm mục tiêu các thiết kế chip máy
tính hiệu năng cao và
hệ thống
máy tính của các nhà cung cấp internet lớn ở Hoa Kỳ.
Chi tiết thông tin được cung cấp từ báo cáo của Businessweek, Bộ Ngoại
giao Trung Hoa đã gửi một tuyên bố cho biết: “Trung
Hoa kiên
quyết bảo vệ cho an ninh mạng’’. Bộ này nói thêm rằng vào năm 2011, Trung Hoa đã đề xuất các đảm bảo quốc tế về bảo mật phần cứng cùng với các thành viên khác của Tổ chức Hợp tác Thượng Hải, một cơ quan an ninh
khu vực. Tuyên bố kết luận,
“Chúng tôi hy vọng các bên ít nghi ngờ và buộc tội vô
cớ hơn, mà
nên tiến hành
đối thoại và
hợp tác
mang tính xây dựng hơn để chúng
ta có thể cùng
nhau xây dựng một không
gian mạng hòa
bình, an toàn, cởi mở, hợp tác
và trật tự’’.
Businessweek
Bloomberg Businessweek, previously known as BusinessWeek,
is an American weekly business magazine, published 50 times a year.[2] Since
2009, the magazine is owned by New York City-based Bloomberg L.P. The magazine
debuted in New York City in September 1929.[3] Bloomberg Businessweek business
magazines are located in the Bloomberg Tower, 731 Lexington Avenue, East Side
of Midtown Manhattan, neighborhood of Manhattan in New York City and market
magazines are located in the Citigroup Center, 153 East 53rd Street between
Lexington and Third Avenue, East Side of Midtown Manhattan, neighborhood of
Manhattan in New York City.
Cuộc tấn công Supermicro là theo một trật tự khác hoàn toàn so với các đợt tấn công trước được quy cho PLA. Nó đã đe dọa đến một loạt rất nhiều những người dùng cuối, trong đó có một số người quan trọng. Về phần mình, Apple
đã sử dụng phần cứng
Supermicro trong các trung tâm dữ liệu của mình trong
nhiều năm, nhưng mối
quan hệ đã tăng lên sau năm 2013, khi Apple mua lại một công ty khởi nghiệp có tên Topsy Labs, nơi tạo ra công nghệ siêu tốc để lập chỉ mục và tìm kiếm các nội dung internet khổng lồ. Vào năm 2014, công
ty khởi nghiệp này đã được đưa vào hoạt động để xây dựng các trung tâm dữ liệu nhỏ trong hoặc gần các thành phố lớn trên toàn cầu.
Dự án này, được biết đến với tên
gọi nội
bộ là Ledbelly, được thiết kế để
thực hiện chức năng tìm kiếm trợ lý giọng nói
của
Apple, Siri, nhanh hơn, theo ba người trong nội bộ của Apple.
Topsy
Labs
Topsy Labs was a social
search and analytics company based in San Francisco, California. The company
was a certified Twitter partner and maintained a comprehensive index of tweets,
numbering in the hundreds of billions, dating back to Twitter's inception in
2006.
Các tài liệu mà
Businessweek đã nhìn thấy cho thấy vào năm 2014, Apple đã lên kế hoạch đặt hàng hơn 6.000 máy chủ Supermicro để cài đặt tại 17 địa điểm, bao gồm
Amsterdam, Chicago, Hồng Kông, Los Angeles,
New York, San Jose, Singapore và Tokyo, cùng với 4.000 máy chủ cho các trung tâm dữ liệu tại Bắc Carolina và Oregon. Các đơn đặt hàng này được cho là sẽ tăng gấp đôi, lên 20.000 máy chủ, vào năm 2015. Ledbelly đã biến Apple trở thành một khách hàng quan trọng của Supermicro cùng lúc với việc PLA bị phát hiện đang thao túng phần cứng của nhà cung cấp này.
Sự chậm trễ của dự án và các vấn đề về hiệu suất ban đầu có nghĩa là khoảng 7.000 máy chủ Supermicro đã hoạt động rầm rộ trong mạng
Apple vào thời điểm nhóm bảo mật của công ty tìm thấy các chip độc được cài đặt thêm vào hệ thống. Bởi vì Apple đã không cung cấp cho các nhà điều tra chính phủ quyền truy cập vào các cơ sở của họ hoặc phần cứng bị
can thiệp, nên mức độ của cuộc tấn công vẫn nằm ngoài tầm kiểm soát của chính phủ, theo một quan chức Hoa Kỳ.
Các nhà điều tra Mỹ cuối cùng đã tìm
ra những công ty khác đã bị tấn công. Vì các chip độc này được cấy ghép với thiết kế để ping các máy tính ẩn danh trên internet để có được các hướng dẫn tiếp theo, nên các nhà điều hành có thể hack các máy tính
đó để xác định những người đã bị ảnh hưởng khác. Mặc dù các nhà điều tra không thể chắc chắn rằng họ đã tìm thấy tất cả các nạn nhân, nhưng một người quen thuộc với cuộc
thăm dò của Hoa Kỳ nói rằng cuối cùng họ đã kết luận rằng con số này là gần 30 công ty.
(Còn nữa)
Ánh Dương
Theo BusinessWeek
Xem thêm:
The Big Hack: Các ‘chip độc’ của Trung Hoa được cấy
ghép lên máy chủ của chính phủ Mỹ và các công ty lớn như thế nào? (Phần 1)
The Big Hack: Các ‘chip độc’ của Trung Hoa được cấy
ghép lên máy chủ của chính phủ Mỹ và các công ty lớn như thế nào? (Phần 2)
No comments:
Post a Comment