在美国电信中发现了被黑客入侵的超微硬件的证据

一家大型美国电信公司在其网络中发现了被操纵的硬件，并在8月将其删除，据该电信公司的一名安全专家称，这是在中国篡改了运往美国的关键技术组件的新证据。

安全专家Yossi Appleboum在彭博商业周刊 (Bloomberg Businessweek) 上发表了一份调查报告后，提供了这一发现的文件、分析和其他证据，该报告详细介绍了中国情报部门如何命令分包商在2015年结束的两年内在超微服务器主板上植入恶意芯片。

Appleboum以前曾在以色列陆军情报团的技术部门工作，现在是位于马里兰州盖瑟斯堡的Sepio Systems的联合首席执行官。他的公司专门从事硬件安全，并受雇扫描电信公司的几个大型数据中心。

由于Appleboum与客户的保密协议，彭博社没有确定该公司的身份。来自Supermicro服务器的异常通信以及随后的物理检查显示，服务器的以太网连接器内置了一个植入物，该组件用于将网络电缆连接到计算机，Appleboum说。这位高管表示，他已经看到中国承包商对不同供应商的计算机硬件进行了类似的操作，而不仅仅是超微的产品。

“超微是受害者 -- 其他人也一样，” 他说。Appleboum表示，他担心的是，在中国的供应链中，有无数的可以引入操纵的点，在许多情况下，推演它们是不可能的。“这就是中国供应链的问题所在，” 他说。

总部位于加利福尼亚州圣何塞的Supermicro给出了以下声明: “我们客户的安全和产品的完整性是我们业务和公司价值观的核心。我们在整个制造过程中注意确保产品的完整性，供应链安全是我们行业讨论的重要话题。我们仍然不知道任何未经授权的组件，也没有被任何客户告知已经找到此类组件。我们感到沮丧的是，彭博社只会给我们有限的信息，没有文件，半天时间来回应这些新的指控。彭博新闻社周一在上午9:23首次联系了超微，对此事发表评论。东部时间并给了公司24小时的答复。

Supermicro在较早的报道后表示，它 “强烈反驳” 有关其出售给客户的服务器包含恶意微芯片的报道。中国驻华盛顿大使馆周一未回复置评请求。在回应彭博商业周刊 (Bloomberg Businessweek) 早些时候的调查时，中国外交部没有直接解决有关操纵超微服务器的问题，但表示供应链安全是 “共同关心的问题，中国也是受害者”。

上周四，在彭博商业周刊 (Bloomberg Businessweek) 披露有关被黑客入侵的服务器之后，超微股价暴跌41%，为上市公司2007年以来的最高水平。在最新的报道之后，周二他们的跌幅达到了27%。

最近的操纵与上周《彭博商业周刊》报告中描述的操纵不同，但它具有主要特征: 它们都旨在使攻击者能够无形地访问安装服务器的计算机网络上的数据，并且发现这些更改是在工厂进行的，因为主板是由中国的Supermicro分包商生产的。

根据他对设备的检查，Appleboum确定电信公司的服务器是在制造该设备的工厂进行了修改的。他说，西方情报人员告诉他，该设备是在中国东南部港口城市广州的一家超微分包商工厂制造的。广州位于深圳上游90英里处，被称为 “硬件硅谷”，是腾讯控股有限公司和华为技术有限公司等巨头的所在地。有限公司。

Appleboum说，在拥有大量Supermicro服务器的设施中发现了被篡改的硬件，而电信公司的技术人员无法回答受感染的服务器正在通过哪种数据脉动，陪同他们进行目视检查的Appleboum说机器。目前还不清楚电信公司是否就这一发现联系了联邦调查局。

FBI发言人拒绝评论是否知道这一发现。AT&T Inc. 和Verizon Communications Inc. 的代表没有立即评论是否在其服务器之一中发现了恶意组件。T-Mobile美国公司和Sprint Corp. 没有立即回应置评请求。

Sepio systems的董事会成员包括以色列国防部以色列摩萨德前局长塔米尔·帕尔多 (Tamir pardo) 主席，其顾问委员会成员包括美国中央情报局前首席信息安全官罗伯特·比格曼 (Robert Bigman)。美国通信网络是外国情报机构的重要目标，因为来自数百万手机，计算机和其他设备的数据通过其系统。

硬件植入是关键工具，用于在这些网络中建立秘密开放，进行侦察并寻找公司知识产权或政府机密。以太网连接器的操纵似乎类似于美国国家安全局也使用的方法，其详细信息已在2013年泄露。

在电子邮件中，Appleboum和他的团队将植入物称为他们的 “老朋友”，因为他说他们以前在中国生产的其他公司对硬件进行的调查中看到了一些变化。在《彭博商业周刊》的报告中，一位官员说，调查人员发现，中国通过超微渗透到包括Amazon.com Inc. 和Apple Inc. 在内的近30家公司。亚马逊和苹果也对这一发现提出了异议。

美国国土安全部表示，“没有理由怀疑” 这些公司否认《彭博商业周刊》的报道。熟悉联邦政府对2014-2015袭击事件进行调查的人士说，这是由联邦调查局的网络和反情报小组领导的，国土安全部可能没有参与。反情报调查是联邦调查局最严密的调查之一，这些部门以外的官员和机构很少被告知这些调查的存在。Appleboum说，他已经与美国以外的情报机构进行了磋商，这些情报机构告诉他，他们已经追踪了一段时间对Supermicro硬件和其他公司硬件的操纵。

在回应彭博商业周刊的报道时，挪威国家安全局上周表示，自6月以来，它一直 “意识到与超微产品有关的问题”。该机构的一份声明说，它无法证实彭博社报道的细节，但最近一直在就此问题与合作伙伴进行对话。

硬件操纵是极其难以察觉的，这就是情报机构在这种破坏活动中投入数十亿美元的原因。根据前中央情报局雇员爱德华·斯诺登 (Edward Snowden) 的启示，众所周知，美国有广泛的计划通过间谍植入物将技术播种到国外。但中国似乎正在积极部署自己的版本，这些版本利用了中国对全球技术制造业的控制。

为美国国防部分析过外国硬件植入物的三名安全专家证实，Sepio的软件检测植入物的方式是健全的。识别可疑硬件的少数方法之一是查看最低级别的网络流量。这些信号不仅包括正常的网络传输，还包括模拟信号 (例如功耗)，这些信号可以指示存在秘密硬件。

在电信公司的案例中，Sepio的技术检测到被篡改的Supermicro服务器实际上是作为两个设备合二为一而出现在网络上的。合法服务器以一种方式进行通信，而植入则以另一种方式进行通信，但是所有流量似乎都来自同一受信任的服务器，这使它可以通过安全过滤器。

Appleboum说，植入物的一个关键标志是，被操纵的以太网连接器具有金属侧面，而不是通常的塑料侧面。金属对于从隐藏在里面的芯片扩散热量是必要的，芯片的作用就像一台迷你电脑。他说: “该模块看起来非常无辜、高质量和 '原始'，但它是作为供应链攻击的一部分添加的。”

硬件植入的目标是在敏感网络中建立一个隐蔽的集结地，这就是Appleboum和他的团队在这种情况下得出的结论。他们认为这是一个严重的安全漏洞，以及网络上还检测到的多个流氓电子产品，并向8月的客户安全团队发出警报，然后将其删除以进行分析。一旦确定了植入物并移除了服务器，Sepio的团队就无法对芯片进行进一步的分析。

来自硬件植入的威胁 “非常真实”，肖恩·卡纳克 (Sean Kanuck) 说，他2016年国家情报总监办公室的最高网络官员。他现在是华盛顿国际战略研究所未来冲突和网络安全主任。硬件植入可以为攻击者提供软件攻击所没有的能力。“忽视这一担忧的制造商忽视了一个潜在的严重问题，” 卡纳克说。“像中国情报和安全服务一样，有能力的网络参与者可以在多个点访问IT供应链，以创建先进而持久的颠覆。”

任何成功的硬件攻击的关键之一就是更改具有足够电源的组件，这是您深入主板的艰巨挑战。Appleboum说，这就是为什么键盘和鼠标等外围设备也是情报机构长期以来的最爱。

在彭博报道了针对超微产品的攻击之后，安全专家表示，从大型银行和云计算提供商到小型研究实验室和初创公司，全球各地的团队都在分析其服务器和其他硬件进行修改，这与正常做法发生了明显变化。他们的发现不一定会公开，因为硬件操作通常是为了访问政府和公司的秘密，而不是消费者的数据。

国家安全专家说，一个关键问题是，在一个每年收入接近1000亿美元的网络安全行业中，其中很少用于检查硬件是否被篡改。这使世界各地的情报机构能够相对不受阻碍地工作，而中国则拥有关键优势。

“对中国来说，这些努力是包罗万象的，” VOR Technology的首席执行官托尼·劳伦斯 (Tony Lawrence) 说。VOR Technology是马里兰州哥伦比亚市情报界的承包商。“我们无法识别这些漏洞的重力或大小-直到找到一些漏洞，我们才知道。可能到处都是-可能是来自中国的任何东西。未知是什么让你，这就是我们现在的位置。我们不知道我们自己系统内的漏洞利用程度。“