SOHA NEWS
Amazon và Apple bị cài chip gián điệp, do sử dụng máy chủ của SuperMicro
Cuộc tấn công này tập trung vào bộ điều khiển quản lý bo mạch chủ (BMC), về cơ bản đây là một chiếc máy tính nhỏ thứ hai được tích hợp vào máy chủ. BMC giúp quản lý giao diện điều khiển thông minh, một công cụ cho phép admin có thể reset hệ thống, cài đặt lại hệ điều hành hoặc thực hiện nhiều tác vụ khác từ xa.
Công cụ này được ví như “god”, có thể chiếm toàn bộ quyền kiểm soát của hệ thống máy chủ mà không cần bất kỳ truy cập vật lý nào.
Hai phóng viên Jordan Robertson và Michael Riley của Bloomberg cáo buộc rằng phía Trung Quốc đã cố tình sửa đổi BMC trên những máy chủ được sản xuất bởi công ty SuperMicro, có trụ sở chính tại San Jose. Qua đó, cài đặt một backdoor vào các máy chủ của ít nhất 30 công ty của Mỹ. Nếu báo cáo này là thật, mức độ nghiêm trọng của vụ tấn công này là ngoài sức tưởng tượng.
Báo cáo của Bloomberg mô tả một backdoor được cài đặt trong BMC, sử dụng một con chip gián điệp chỉ nhỏ bằng hạt gạo để kiểm soát và gửi thông tin về cho một máy chủ đặt tại Trung Quốc.
Từ đó, nếu phía Trung Quốc muốn, họ có thể chiếm toàn bộ quyền kiểm soát hệ thống máy chủ này từ xa, giống như quyền kiểm soát của admin tại trung tâm dữ liệu đó. Ví dụ như có thể cài đặt các phần mềm độc hại, điều khiển trực tiếp các hoạt động của máy chủ, hoặc đơn giản là không làm gì cả.
Họ có thể không làm gì cả và chờ đợi những máy chủ khác có giá trị hơn được kết nối với trung tâm điều khiển. Báo cáo cho biết Amazon đã phát hiện ra các hoạt động mạng bất thường, nhưng không thấy bất kỳ hành vi phá hoại nào.
Cáo buộc có căn cứ của Bloomberg
Đáng chú ý hơn cả, đó là cả Apple, Amazon và SuperMicro đều phủ nhận báo cáo của Blookberg một cách rất mạnh mẽ. Tất cả các cáo buộc của Bloomberg, từ việc cài đặt con chip gián điệp, cho đến việc sửa chữa phần cứng máy chủ của SuperMicro và cả việc thông báo cho Chính phủ Mỹ, đều bị bác bỏ.
Mặc dù vậy, khi phân tích báo cáo của Bloomberg có thể thấy những điểm đáng tin cậy và những chi tiết rất sát thực.
Đầu tiên chính là nhà sản xuất SuperMicro, một công ty chuyên về phần cứng máy chủ. Mặc dù có trụ sở chính tại San Jose, nhưng SuperMicro cũng hợp tác với một số nhà cung ứng đến từ Trung Quốc.
Báo cáo của Bloomberg cho rằng phía Trung Quốc đã can thiệp vào chuỗi cung ứng này, để sửa đổi thiết kế BMC của các máy chủ và thêm vào một con chip gián điệp với kích thước rất nhỏ. Mọi thứ đều hợp lý, vì ngay cả SuperMicro cũng khó có thể phát hiện ra sự tồn tại của con chip gián điệp này.
Các bo mạch hiện đại có rất nhiều những con chip hỗ trợ khác nhau, do đó một con chip gián điệp để tạo backdoor chỉ trông giống như một thành phần của bo mạch. Trong khi Bloomberg không đi sâu vào cơ chế hoạt động của con chip gián điệp này, nhưng khẳng định rằng việc che giấu nó là không quá khó.
Câu chuyện của Bloomberg cũng giải thích một bí ẩn trước đây. Đó là vào năm 2016, Apple đã âm thầm loại bỏ tất cả các máy chủ SuperMicro ra khỏi danh sách của mình, do một “sự cố bảo mật không xác định”. Khi đó, SuperMicro cung cấp một BIOS bị sửa đổi, cũng là mục tiêu mà hacker dễ khai thác và chiếm quyền kiểm soát máy chủ từ xa.
Ai là kẻ nói dối?
Mặc dù Robertson và Riley chỉ nêu tên của hai công ty công nghệ bị ảnh hưởng, đó là Apple và Amazon, tuy nhiên báo cáo này cho biết có tới 30 công ty công nghệ của Mỹ là nạn nhân. Bất kỳ dấu hiệu lạ nào trong hoạt động mạng của máy chủ đều dễ dàng phát hiện, ngay cả khi hacker không có hoạt động phá hoại.
Nguyên nhân là do những con chip gián điệp này sẽ gửi dữ liệu về máy chủ điều khiển được đặt tại Trung Quốc. Do đó, NSA có thể rà soát toàn bộ các hoạt động có liên quan đến máy chủ điều khiển này và phát hiện ra những nạn nhân bị ảnh hưởng.
Bức màn bí mật sẽ sớm được sáng tỏ, Bloomberg hay Apple và Amazon mới là người nói sự thật? Chúng ta sẽ sớm được biết khi có những báo cáo điều tra chính thức.