Các điệp viên công nghệ cao Trung Quốc đã tấn công chính phủ và gần 30 công ty của Mỹ, bao gồm cả các “ông lớn” như Amazon và Apple, bằng cách xâm nhập thông qua chuỗi cung ứng thiết bị công nghệ Hoa Kỳ, theo các nguồn tin từ chính phủ và các doanh nghiệp của Hoa Kỳ.
Tính bảo mật của chuỗi cung ứng công nghệ toàn cầu đã bị xâm phạm, nhưng hầu hết các công ty và người dùng đều không biết
Ngay trước khi bằng chứng về vụ tấn công xuất hiện trong mạng lưới của các công ty Hoa Kỳ, các nguồn tin tình báo Mỹ đã có báo cáo rằng các điệp viên của Trung Quốc có kế hoạch đưa các vi mạch độc hại vào chuỗi cung ứng công nghệ Hoa Kỳ. Các nguồn tin này đã không được xác định cụ thể, nhưng hàng năm vẫn có hàng triệu các bo mạch chủ được chuyển đến Hoa Kỳ, theo một người thạo tin cung cấp.
Nhưng trong nửa đầu năm 2014, một người khác đã thông báo về các cuộc thảo luận cấp cao cho biết, các quan chức tình báo đã đến Nhà Trắng với một điều cụ thể hơn: quân đội Trung Quốc đã chuẩn bị đưa chip độc hại vào các bo mạch chủ Supermicro để giao cho các công ty của Hoa Kỳ.
Tính cụ thể của thông tin là đáng chú ý, nhưng những thách thức mà nó đặt ra cũng tương đương. Đưa ra một cảnh báo rộng rãi cho các khách hàng của Supermicro, có thể sẽ làm tê liệt sản xuất của họ, một nhà sản xuất phần cứng lớn của Mỹ. Đồng thời, những người hoạt động tình báo vẫn còn chưa rõ ràng là các hoạt động này nhắm đến đâu và mục đích cuối cùng là gì. Thêm vào đó, vẫn chưa có bất kỳ ai chính thức xác nhận rằng họ đã bị tấn công, do vậy FBI bị giới hạn trong cách mà họ có thể phản ứng. Nhà Trắng đã yêu cầu cập nhật định kỳ khi có bất cứ thông tin mới nào, một người quen thuộc với các cuộc thảo luận đã nói.
Theo một người quen thuộc với những cuộc tấn công tương tự, Apple đã phát hiện ra những con chip đáng ngờ bên trong các máy chủ của Supermicro vào khoảng tháng 5 năm 2015. Hai trong số những người có chức vụ cao cấp của Apple cho biết công ty đã báo cáo vụ việc với FBI nhưng vẫn giữ bí mật thông tin chi tiết về những gì họ đã phát hiện được, thậm chí họ giữ bí mật thông tin ngay cả trong nội bộ. Các nhà điều tra của chính phủ vẫn đang tự mình truy tìm manh mối khi Amazon phát hiện ra và cho họ quyền truy cập vào phần cứng đã bị phá hoại, theo một quan chức Hoa Kỳ. Điều này tạo ra một cơ hội vô giá cho các cơ quan tình báo và FBI - sau đó họ đã tiến hành một cuộc điều tra đầy đủ dưới sự lãnh đạo của các nhóm phản gián và an ninh mạng của họ - để xem các con chip trông như thế nào và chúng hoạt động ra sao.
Theo một người nhìn thấy một báo cáo chi tiết do nhà thầu bảo mật của bên thứ ba chuẩn bị cho Amazon, cũng như một người thứ hai khác đã xem ảnh kỹ thuật số và hình ảnh X-quang của các con chip được đưa vào một báo cáo được chuẩn bị bởi nhóm bảo mật của Amazon, thì những con chip trên máy chủ Elemental được thiết kế đặt tại nơi mà sao cho kín đáo nhất có thể. Các con chip đó có màu xám hoặc màu trắng nhờ, trông chúng giống như các bộ ghép tín hiệu điều hòa, một thành phần của bo mạch chủ phổ biến khác, hơn là vi mạch, và do đó chúng khó có thể được phát hiện nếu không có thiết bị chuyên dụng. Tùy thuộc vào mô hình của bảng mạch điện tử, mà các con chip có kích thước hơi khác nhau, cho thấy những kẻ tấn công đã cung cấp các loại chip độc khác nhau cho các nhà máy khác nhau với các lô hàng khác nhau.
Các quan chức quen thuộc với cuộc điều tra nói rằng vai trò ưu tiên của những con chip độc cấy ghép thêm như thế này là để mở những cánh cửa cho những kẻ tấn công khác có thể đi qua. “Các cuộc tấn công trên Phần cứng là nói về quyền truy cập’’, một trong những cựu quan chức cao cấp của chính phủ cho biết. Nói một cách đơn giản, bộ cấy trên phần cứng của Supermicro đã điều khiển các hướng dẫn vận hành cốt lõi để cho máy chủ biết phải làm gì khi dữ liệu di chuyển trên bo mạch chủ, hai người quen thuộc với hoạt động chip nói.
Điều này xảy ra vào một thời điểm quan trọng, khi các bit nhỏ của hệ điều hành đang được lưu trữ trong bộ nhớ tạm thời của vi mạch trên đường đến bộ xử lý trung tâm của máy chủ, CPU. Chip độc hại được đặt trên bảng mạch điện tử theo cách cho phép nó chỉnh sửa một cách hiệu quả cách sắp xếp thông tin đi qua, đưa vào mã của chính nó hoặc thay đổi thứ tự các hướng dẫn mà CPU phải tuân theo. Những thay đổi nhỏ có thể tạo ra hiệu ứng tai hại.
Vì những bộ cấy ghép là nhỏ, số lượng mã chúng chứa được cũng nhỏ. Nhưng chúng có khả năng thực hiện hai điều rất quan trọng là: (1) cho phép thiết bị liên lạc với một trong một số máy tính ẩn danh ở nơi khác trên internet được tải bằng mã phức tạp hơn; và (2) chuẩn bị cho hệ điều hành của thiết bị chấp nhận mã mới này. Các chip bất hợp pháp có thể làm tất cả điều này bởi vì chúng được kết nối với bộ điều khiển quản lý baseboard, một loại superchip mà quản trị viên sử dụng để đăng nhập từ xa vào các máy chủ có vấn đề, cho phép họ truy cập vào mã nhạy cảm nhất ngay cả trên các máy bị hỏng hoặc bị tắt.
Hệ thống này có thể cho phép những kẻ tấn công thay đổi cách thức hoạt động của thiết bị, theo từng dòng lệnh, tuy nhiên chúng muốn, không để ai khôn ngoan hơn. Để hiểu sức mạnh sẽ mang lại cho họ, hãy lấy ví dụ giả thuyết này: Ở đâu đó trong hệ điều hành Linux, chạy trên nhiều máy chủ, là mã cho phép người dùng bằng cách xác minh mật khẩu đã nhập với mã hóa được lưu trữ. Một con chip được cấy ghép có thể thay đổi một phần của mã đó để máy chủ không thể kiểm tra mật khẩu! Thế là một thiết bị bảo mật đã được mở ra cho bất kỳ ai và tất cả mọi người dùng có thể truy cập được. Một con chip cũng có thể đánh cắp các khóa mã hóa đảm bảo liên lạc an toàn, chặn các cập nhật bảo mật làm vô hiệu hóa cuộc tấn công và mở ra những con đường mới đến internet.
Nếu một số bất thường được phát hiện ra, nó có thể sẽ được bỏ qua và được cho là một sự kỳ lạ không giải thích được. “Phần cứng sẽ mở ra bất cứ cánh cửa nào mà nó muốn’’, chuyên gia Joe FitzPatrick, người sáng lập của Hardware Security Resources LLC, một công ty đào tạo các chuyên gia an ninh mạng trong các kỹ thuật hack phần cứng nói.
Các quan chức Hoa Kỳ đã bắt gặp Trung Quốc đang thử nghiệm phần cứng giả mạo trước đó, nhưng họ chưa bao giờ đã từng thấy bất cứ điều gì có quy mô và tham vọng tương tự thế này. Tính bảo mật của chuỗi cung ứng công nghệ toàn cầu đã bị xâm phạm, ngay cả khi người tiêu dùng và hầu hết các công ty chưa biết điều đó. Điều còn lại để các nhà điều tra tìm hiểu là làm thế nào những kẻ tấn công đã thâm nhập triệt để vào quá trình sản xuất Supermicro, và bao nhiêu cánh cửa mà chúng đã mở vào các mục tiêu của nước Mỹ.
Không giống như hack trên phần mềm, thao tác phần cứng tạo ra một dấu vết trong thế giới thực. Các thành phần để lại một biểu hiện của sự vận chuyển và các tờ hóa đơn. Các bảng vi mạch điện tử có đánh số sê-ri để theo dõi các nhà máy cụ thể đã chế tạo nó. Để theo dõi đến nguồn gốc của các con chip bị hỏng, các cơ quan tình báo Hoa Kỳ đã bắt đầu theo dõi ngược lại chuỗi cung ứng ngoằn ngoèo của Supermicro, một người đã thông báo về bằng chứng thu thập được trong cuộc thăm dò đã cho biết.
Gần đây như năm 2016, theo DigiTimes, một trang tin chuyên về nghiên cứu chuỗi cung ứng, Supermicro có ba nhà sản xuất chính xây dựng bo mạch chủ của mình, hai trụ sở đặt tại Đài Loan và một ở Thượng Hải. Khi các nhà cung cấp như vậy bị quá tải với các đơn đặt hàng lớn, đôi khi họ giao việc cho các nhà thầu phụ. Để đi sâu hơn nữa, các cơ quan tình báo của Hoa Kỳ đã sử dụng các công cụ đặc biệt phi thường mà họ có. Họ đã sàng lọc thông qua các cuộc liên lạc, khai thác thông tin ở Đài Loan và Trung Quốc, thậm chí theo dõi các cá nhân quan trọng thông qua điện thoại của họ, theo người được tóm tắt về bằng chứng thu thập được trong cuộc thăm dò. Cuối cùng, người đó nói rằng, họ đã truy tìm các con chip độc hại đến từ bốn nhà máy thầu phụ đã xây dựng bo mạch chủ Supermicro trong ít nhất hai năm.
Khi các đặc vụ theo dõi sự tương tác giữa các quan chức Trung Quốc, các nhà sản xuất bo mạch chủ và người trung gian, họ thoáng thấy quá trình gieo hạt hoạt động như thế nào. Trong một số trường hợp, các nhà quản lý nhà máy đã được tiếp cận bởi những người tuyên bố đại diện cho Supermicro hoặc những người nắm giữ các vị trí gợi ý kết nối với chính phủ. Những người trung gian sẽ yêu cầu thay đổi thiết kế ban đầu của bo mạch chủ, ban đầu đưa ra các khoản hối lộ kết hợp với các yêu cầu bất thường của họ. Nếu điều đó không có tác dụng, họ đã đe dọa các nhà quản lý nhà máy bằng các cuộc kiểm tra liên ngành mà có thể làm cho các nhà máy của họ buộc phải đóng cửa. Sau khi sắp xếp xong, những người trung gian sẽ tổ chức giao chip cho các nhà máy.
Các nhà điều tra kết luận rằng kế hoạch phức tạp này là công việc của một đơn vị Quân đội Giải phóng Nhân dân TQ chuyên tấn công phần cứng, theo hai người đã tóm tắt về các hoạt động của nó. Sự tồn tại của nhóm này chưa bao giờ được tiết lộ trước đây, nhưng một quan chức nói, “Chúng tôi đã theo dõi những kẻ này thực sự lâu hơn chúng tôi dự định’’. Đơn vị này được cho là tập trung vào các mục tiêu ưu tiên cao, bao gồm công nghệ thương mại tiên tiến và máy tính của quân đội đối thủ. Trong các cuộc tấn công trước đây, nó đã nhắm mục tiêu các thiết kế chip máy tính hiệu năng cao và hệ thống máy tính của các nhà cung cấp internet lớn ở Hoa Kỳ.
Chi tiết thông tin được cung cấp từ báo cáo của Businessweek, Bộ Ngoại giao Trung Quốc đã gửi một tuyên bố cho biết: “Trung Quốc kiên quyết bảo vệ cho an ninh mạng’’. Bộ này nói thêm rằng vào năm 2011, Trung Quốc đã đề xuất các đảm bảo quốc tế về bảo mật phần cứng cùng với các thành viên khác của Tổ chức Hợp tác Thượng Hải, một cơ quan an ninh khu vực. Tuyên bố kết luận, “Chúng tôi hy vọng các bên ít nghi ngờ và buộc tội vô cớ hơn, mà nên tiến hành đối thoại và hợp tác mang tính xây dựng hơn để chúng ta có thể cùng nhau xây dựng một không gian mạng hòa bình, an toàn, cởi mở, hợp tác và trật tự’’.
Cuộc tấn công Supermicro là theo một trật tự khác hoàn toàn so với các đợt tấn công trước được quy cho PLA. Nó đã đe dọa đến một loạt rất nhiều những người dùng cuối, trong đó có một số người quan trọng. Về phần mình, Apple đã sử dụng phần cứng Supermicro trong các trung tâm dữ liệu của mình trong nhiều năm, nhưng mối quan hệ đã tăng lên sau năm 2013, khi Apple mua lại một công ty khởi nghiệp có tên Topsy Labs, nơi tạo ra công nghệ siêu tốc để lập chỉ mục và tìm kiếm các nội dung internet khổng lồ. Vào năm 2014, công ty khởi nghiệp này đã được đưa vào hoạt động để xây dựng các trung tâm dữ liệu nhỏ trong hoặc gần các thành phố lớn trên toàn cầu. Dự án này, được biết đến với tên gọi nội bộ là Ledbelly, được thiết kế để thực hiện chức năng tìm kiếm trợ lý giọng nói của Apple, Siri, nhanh hơn, theo ba người trong nội bộ của Apple.
Các tài liệu mà Businessweek đã nhìn thấy cho thấy vào năm 2014, Apple đã lên kế hoạch đặt hàng hơn 6.000 máy chủ Supermicro để cài đặt tại 17 địa điểm, bao gồm Amsterdam, Chicago, Hồng Kông, Los Angeles, New York, San Jose, Singapore và Tokyo, cùng với 4.000 máy chủ cho các trung tâm dữ liệu tại Bắc Carolina và Oregon. Các đơn đặt hàng này được cho là sẽ tăng gấp đôi, lên 20.000 máy chủ, vào năm 2015. Ledbelly đã biến Apple trở thành một khách hàng quan trọng của Supermicro cùng lúc với việc PLA bị phát hiện đang thao túng phần cứng của nhà cung cấp này.
Sự chậm trễ của dự án và các vấn đề về hiệu suất ban đầu có nghĩa là khoảng 7.000 máy chủ Supermicro đã hoạt động rầm rộ trong mạng Apple vào thời điểm nhóm bảo mật của công ty tìm thấy các chip độc được cài đặt thêm vào hệ thống. Bởi vì Apple đã không cung cấp cho các nhà điều tra chính phủ quyền truy cập vào các cơ sở của họ hoặc phần cứng bị can thiệp, nên mức độ của cuộc tấn công vẫn nằm ngoài tầm kiểm soát của chính phủ, theo một quan chức Hoa Kỳ.
Các nhà điều tra Mỹ cuối cùng đã tìm ra những công ty khác đã bị tấn công. Vì các chip độc này được cấy ghép với thiết kế để ping các máy tính ẩn danh trên internet để có được các hướng dẫn tiếp theo, nên các nhà điều hành có thể hack các máy tính đó để xác định những người đã bị ảnh hưởng khác. Mặc dù các nhà điều tra không thể chắc chắn rằng họ đã tìm thấy tất cả các nạn nhân, nhưng một người quen thuộc với cuộc thăm dò của Hoa Kỳ nói rằng cuối cùng họ đã kết luận rằng con số này là gần 30 công ty.
(Còn nữa)
Ánh Dương
Theo BusinessWeek
