Bài này là điều tra của Bloomberg thu thập thông tin từ nhiều công ty như
Amazon,
Apple,
CIA,
các quan chức Mỹ... để phơi bày việc mainboard dùng trong máy chủ của
nhiều hãng lớn và cả Bộ quốc phòng Mỹ bị cài lén một con chip nhỏ xíu
bắt nguồn từ
Trung Quốc. Bài hơi dài, nhưng anh em nên đọc hết, đảm bảo hấp dẫn và anh em sẽ thấy được những cách
hack mới lạ hoàn toàn, và cực kì nguy hiểm cho tất cả chúng ta.
Năm 2015, Amazon bắt đầu âm thầm đánh giá một startup tên là Elemental
Technologies. Công ty này cung cấp giải pháp stream video và công nghệ
của họ đã được sử dụng để phát sóng Olympic, truyền thông tin với Trạm
không gian quốc tế, thậm chí là stream video từ drone cho CIA. Nhưng các
hợp đồng béo bở của Elemental không phải là lý do chính Amazon muốn mua
lại Elemental, thay vào đó Amazon muốn sở hữu công nghệ phía sau để
phục vụ ngược lại cho các mảng như Amazon Prime Video, và đặc biệt hơn
là dùng cho các dự án cloud Amazon Web Services (AWS) mà Amazon đang làm
cho CIA.
Điều tra
Trong quá trình thẩm tra doanh nghiệp trước khi quyết định đầu tư (gọi
là due diligence - dd), AWS đã thuê một bên thứ ba kiểm tra tính
bảo mật
hệ thống của Elemental. Trong quá trình này, họ có điều tra các server
mà khách hàng của Elemental lắp đặt trong hệ thống của mình để thực hiện
việc nén video. Những server đó được lắp ráp cho Elemental bởi Super
Micro Computer Inc (còn được gọi là Supermicro), một hãng khá nổi tiếng
trong giới làm bo mạch máy chủ và có trụ sở tại San Jose.
Độ cuối năm 2015, Elemental đóng gói một số server và gửi chúng tới
Ontario, Canada để bên thứ ba nói trên thử nghiệm. Và thật bất ngờ, cơ
quan kiểm tra này phát hiện trên bo mạch chủ của các server có một con
chip nhỏ xíu bằng hạt gạo, và đáng lưu ý là con chip này không nằm trong
thiết kế ban đầu của bo mạch. Có ai đó đã gắn chúng vào. Amazon báo cáo
vụ việc này cho chính quyền Mỹ, lan truyền thông tin cho cộng đồng tình
báo. Đây là một chuyện cực kì nguy hiểm bởi các server của Elemental
đang được dùng trong data center của Bộ quốc phòng Mỹ, trong tổng hành
dinh phục vụ việc điều khiển drone của CIA, trên cả những tàu chiến của
Hải quân Mỹ. Và Elemental chỉ là một trong số hàng trăm khách hàng của
Supermicro mà thôi.
Cuộc điều tra kéo dài trong 3 năm và vẫn còn đang được tiếp tục, các nhà
điều tra đã phát hiện ra rằng con chip này cho phép hacker tạo ra một
cách cửa sau (backdoor) để truy cập vào bất kì hệ thống mạng nào có lắp
đặt những server nói trên. Nhiều người ẩn danh nói với Bloomberg rằng
các nhà điều tra đã truy được nguồn gốc của những con chip nói trên:
chúng xuất phát từ các nhà máy gia công ở Trung Quốc!
Việc dùng chip để tấn công nghiêm trọng hơn nhiều so với những cuộc tấn
công bằng phần mềm mà chúng ta thường thấy và đang dần quen thuộc. Việc
gắn chip là cực kì khó, nhưng khi bị tấn công bằng phần cứng, gần như
không gì có thể cản được nữa. Nó cũng cho thấy nhiều cơ quan tình báo
sẵn sàng chi nhiều triệu đô la để nghiên cứu, tìm cách lấy trộm thông
tin cũng như dành nhiều năm để thực hiện ý đồ của mình.
Các nhà điều tra tiếp tục nghiên cứu thì thấy rằng chip đã được gắn vào
trong quá trình sản xuất bởi các đặc vụ thuộc quân đội Trung Quốc. Trung
Quốc đã tìm thấy Supermicro, cánh cửa để họ truy cập được rất nhiều
thông tin tình báo của Mỹ thông qua chuỗi cung ứng này.
Một quan chức giấu tên cho hay cuộc điều tra đã xác định gần 30 công ty
bị ảnh hưởng, trong đó có nhiều ngân hàng, các nhà thầu quân sự, thậm
chí cả Apple. Apple là khách hàng quan trọng của Supermicro, họ mới vừa
đặt hàng hơn 30.000 server trong vòng 2 năm để chuẩn bị mở rộng mạng
lưới data center toàn cầu. 3 nhân viên cao cấp làm cho Apple cũng nói
rằng Apple đã phát hiện thấy những con chip độc hại này trên bo mạch của
Supermicro vào mùa hè năm 2015.
Trong thông cáo chính thức, Amazon, Apple và cả Supermicro đều từ chối
xác nhận vấn đề. AWS nói họ không biết về việc chip có gắn trên bo mạch
khi mua lại Elemental. Apple thì "chưa bao giờ tìm thấy chip độc hại,
can thiệp phần cứng hay các lỗ hổng được cấy vào server một cách chủ
đích". Apple cũng đã ngừng mối quan hệ với Supermicro nhưng họ thông báo
điều này là do những lý do không liên quan tới sự cố mà chúng ta đang
nói tới trong bài này. Supermicro thì nói họ "không biết về những cuộc
điều tra đó".
Về phía chính phủ Trung Quốc, họ nói rằng "sự an toàn trong chuỗi cung
ứng là một nỗi lo chung, và Trung Quốc cũng là nạn nhận". FBI, CIA và
NSA từ chối bình luận về vấn đề này.
Phát ngôn từ chối nói trên đã bị phản bác bởi 6 người hiện đang là quan
chức bảo mật, những người đã tham gia vào quá trình điều tra, phát hiện
các con chip cũng như cuộc điều tra của chính phủ Mỹ. Trong số những
người nào có 2 người đến từ AWS. Có thêm 3 nhân viên của Apple và 4 quan
chức khác xác nhận thông tin Apple là nạn nhân. Tổng cộng có 17 người
xác nhận việc phần cứng của Supermicro bị can thiệp. Vì lý do gì đó mà
tất cả công ty và chính phủ đều phải lắc đầu khi được hỏi một cách công
khai, có lẽ vì thông tin này là thông tin thuộc diện bảo mật cao theo
luật Mỹ.
Một trong số các nguồn tin cho rằng mục tiêu dài hạn của Trung Quốc là
truy cập và đánh cắp các bí mật kinh doanh có giá trị cao của doanh
nghiệp Mỹ cũng như tài liệu, mạng lưới bí mật của chính phủ. Trung Quốc
(tạm thời) chưa quan tâm tới việc lấy trộm dữ liệu người dùng.
Mới đây chính quyền của tổng thống Trump có áp thuế lên các linh kiện
máy tính và mạng nhập khẩu từ Trung Quốc như một phần của lệnh trừng
phạt. Cộng với thông tin mà các bạn đã đọc ở trên, các công ty Mỹ có thể
sẽ đẩy nhanh việc dời dây chuyển sản xuất sang các quốc gia khác.
Vì sao lại là Supermicro?
Supermicro đóng đô tại phía bắc sân bay San Jose, công ty được sáng lập
bởi Charles Liang, một kĩ sư Đài Loan từng học tại Texas và sau đó lập
ra Supermicro cùng với vợ mình hồi năm 1993. Khi đó các công ty ở Thung
lũng Silicon rất thích outsource các sản phẩm IT để giảm chi phí và rút
ngắn thời gian phát triển. Họ thích chọn các công ty Đài Loan và sau đó
là Trung Quốc. Mặc dù đa số linh kiện của Supermicro được sản xuất ở
nước ngoài nhưng nó vẫn được ráp ở Mỹ.
Ngày nay, Supermicro bán nhiều bo mạch server hơn bất kì công ty nào
khác trong cùng lĩnh vực. Supermicro gần như độc chiếm thị trường trị
giá 1 tỉ USD này, và họ không sợ đụng hàng vì mainboard của hãng được
dùng trong các hệ thống máy tính đặc biệt, không phải máy tính cá nhân:
máy quét MRI trong bệnh viện, các server đặc thù cho ngân hàng, cho
những quỹ đầu tư tài chính, các công ty cung cấp dịch vụ cloud, và cả hệ
thống vũ khí nữa. Supermicro có một nhà máy lắp ráp ở California, Hà
Lan và Đài Loan nhưng bo mạch chủ - sản phẩm chủ lực - thì được làm bởi
các nhà thầu Trung Quốc.
Supermicro nói với khách hàng rằng họ có thể tùy biến rất nhiều về bo
mạch, họ có đội ngũ hàng trăm kĩ sư và một bộ sưu tập trên 600 thiết kế
bo mạch. Đa số lực lượng lao động của công ty ở San Jose là người Đài
Loan và Trung Quốc, họ sử dụng tiếng Trung phổ thông (Mandarin) làm ngôn
ngữ chính. Nhiều thứ ở công ty cũng được viết bằng tiếng Trung. Có lẽ
vì thế mà chính phủ Trung Quốc mới dễ hiểu được cách vận hành của
Supermicro và tìm ra chỗ sơ hở để cài chip vào. Các quan chức Mỹ hiện
vẫn đang điều tra xem liệu có gián điệp nào được cài vào Supermicro hay
không.
Supermicro có hơn 900 khách hàng ở 100 quốc gia, và con số này chỉ mới
tính tới năm 2015 mà thôi. Supermicro giống như là Microsoft trong thế
giới phần cứng server. Tấn công vào Supermicro là bạn đang tấn công vào
Windows, tức là đang tấn công cả thế giới".
Khi truy ngược lại một số nhà máy mà Supermicro có hợp đồng sản xuất tại
Trung Quốc, các nhà điều tra phát hiện thấy rằng trong một số thời điểm
đơn hàng lên cao quá, các nhà thầu này lại đi kiếm thêm thầu phụ, và
nhà máy của những nhà thầu phụ này chính là nơi mà chip được cài vào.
Dường như mỗi nhà thầu được cung cấp một lô chip khác nhau nên kích
thước của chính hay khác nhau một chút, việc này đã diễn ra trong ít
nhất 2 năm.
Để có thể gắn được chip, Trung Quốc được cho là đã mua chuộc quản lý của
các nhà máy này để họ thay đổi thiết kế gốc từ Supermicro và nhúng con
chip mã độc
vô. Nếu mua chuộc không được, họ chuyển sang đe dọa đóng cửa nhà máy
của các nhà thầu, thế nên họ đành ngoan ngoãn nghe theo. Việc này được
tiến hành bởi một nhóm của Quân đội Trung Quốc chuyên về tấn công phần
cứng.
Việc truy ngược phần cứng khá dễ dàng chứ không như việc truy nguồn gốc
của hack phần mềm. Mọi bo mạch đều có số series, các số này lại được lưu
trong hệ thống sản xuất của Supermicro và các nhà thầu nên dễ truy
nguồn hơn.
Khi hỏi chính phủ Trung Quốc, tất nhiên họ phủ nhận và nói mình không làm điều đó.
Cách con chip hoạt động
Các con chip này quá nhỏ, nhìn qua có thể nhầm lẫn với con tụ và nhiều
linh kiện khác trên bo mạch chủ. Trong một số bo mạch, nó nhỏ tới mức có
thể nhét giữa lớp chân chip để mắt thường không thể nhìn thấy.
Các nhà điều tra cho hay con chip này sẽ can thiệp vào đường đi của dữ
liệu khi nó di chuyển giữa các phần khác nhau của bo mạch. Sẽ có một
phần của hệ điều hành được đưa vào CPU xử lý, và con chip của Trung Quốc
sẽ chỉnh sửa luồng thông tin này, chèn code của nó vào để chỉnh sửa thứ
tự các lệnh mà CPU sẽ thực hiện. Chỉ một số thay đổi nhỏ thôi nhưng vẫn
có thể gây ra hậu quả khủng khiếp.
Bởi vì các con chip được cấy vào bo mạch rất nhỏ nên code của chúng cũng nhỏ, nhưng nó làm được 2 chuyện quan trọng:
- Cho phép server được truy cập từ một máy tính nào đó trên Internet,
sau đó máy tính này sẽ load các đoạn code phức tạp hơn để trích xuất,
lấy cắp thông tin
- Chip cũng sẽ chuẩn bị và đảm bảo hệ điều hành của server chấp thuận đoạn code mới
Chip làm được điều này nhờ nó được kết nối thẳng vào bộ điều khiển
bộ nhớ của bo mạch. Đây cũng là cách mà các vị admin thường dùng để log
in từ xa vào các server gặp sự cố.
Lấy một ví dụ thế này cho cụ thể: ở đâu đó trong Linux (là OS được dùng
chủ yếu trên server) có các đoạn code xác thực người dùng bằng cách xác
minh xem password nhập vào có khớp với password được mã hóa và đã lưu
trữ từ trước hay không. Con chip của Trung Quốc có thể chỉnh sửa lệnh
của CPU để bỏ qua bước kiểm tra password, và xin chúc mừng, bạn đã vào
tới nơi rồi đấy!
Chip cũng có thể đánh cắp khóa bảo mật của các kết nối Internet, chặn
các bản update có thể vô hiệu hóa lỗ hổng bảo mật, và mở cửa cho người
khác truy cập vào server.
Tấn công vào Apple, Amazon
Năm 2014, Apple dự tính đặt hơn 6000 server của Supermicro để dùng cho
17 data center tại Amsterdam, Chicago, Hong Kong, Los Angeles, New York,
San Jose, Singapore, Tokyo, cộng thêm 4000 server nữa cho các data
center hiện có ở North Carolina và Oregon (Mỹ). Supermicro bị cài chip
mã độc cũng vào khoảng thời gian gần gần đó.
Apple lắp được 7000 server thì phát hiện thấy vấn đề hiệu năng, ngoài
nhóm bảo mật của Apple cũng tìm thấy các con chip trộm thông tin nói
trên. Apple không cho phép các nhà điều tra truy cập vào cơ sở của mình
hay xem các phần cứng bị can thiệp nên các nhà điều tra không thể làm gì
thêm.
Nhưng ở phía Apple, gần như 7000 server này đã bị gỡ bỏ khỏi hạ tầng
Apple trong chỉ vài tuần và thay bằng hãng khác ngay. Năm 2016, Apple
chính thức chấm dứt với Supermicro.
Đối với AWS, họ sử dụng các server được thiết kế và sản xuất riêng nên
không gặp sự cố về chip bị nhúng vào, trừ các data center dùng cho khách
hàng AWS Trung Quốc. Data center của AWS tại Trung Quốc toàn sử dụng
server Supermicro. Khi phát hiện ra vấn đề lúc mua lại Elemental, nhóm
bảo mật của AWS cũng lôi phần cứng tại Trung Quốc và ra xem và phát hiện
vấn đề tương tự, thậm chí một số server còn bị cài chip phức tạp hơn so
với cái từng bị phát hiện trước đó. Một số chip nhỏ hơn đầu bút chì đã
được chuốc!
Tháng 8 năm 2016, CEO Supermicro nói rằng công ty bị mất đi 2 khách hàng
lớn, dù không nói tên nhưng mọi người đều biết đó là Apple. Ông nói
rằng Supermicro đã không cạnh tranh lại về giá so với các đối thủ, nhưng
thực chất phía sau còn có nhiều thứ phức tạp hơn đang diễn ra.
Chốt lại: rủi ro bị trộm thông tin bởi các lỗ hổng trong chuỗi cung ứng
ngày càng rõ rệt hơn, và nay chúng ta đã có bằng chứng rõ ràng về chuyện
này. Đây là điều cực kì nguy hiểm bởi Trung Quốc đang là nơi sản xuất
phần lớn thiết bị điện tử trên thế giới, cả các đồ dùng cho người dùng
phổ thông lẫn máy tính chuyên nghiệp. Và đây sẽ là nguy cơ cực lớn đến
từ Trung Quốc trong việc rò rỉ bí mật kinh doanh, thông tin quốc phòng,
và biết đâu ngày nào đó sẽ là dữ liệu cá nhân của bạn?
