Ngày 25/2, truyền thông Hoa Kỳ Newsmax đã công bố một báo cáo điều tra dài, tiết lộ cách ĐCSTQ cấy chip bí mật vào các linh kiện máy tính sản xuất tại Trung Quốc, để đạt được mục đích giám sát các máy tính của Mỹ. Báo cáo này dựa trên các cuộc phỏng vấn với hơn 50 cá nhân từ các cơ quan thực thi pháp luật, quân đội, Quốc hội, cơ quan tình báo và khu vực tư nhân của Hoa Kỳ. Để có thể chia sẻ thông tin nhạy cảm, hầu hết họ đều yêu cầu không tiết lộ tên họ của mình. Một số chi tiết đã được xác nhận trong các tài liệu của các công ty được Bloomberg News chứng thực.

Ảnh minh họa (Ảnh miễn phí của Pixy)

Tạp chí Bloomberg Businessweek của Mỹ lần đầu tiên báo cáo về việc Trung Quốc chen chân vào các sản phẩm của Supermicro vào tháng 10/2018. Trong một bài báo, tập trung vào các báo cáo rằng chip độc hại đã được thêm vào bo mạch chủ máy chủ vào năm 2015. Báo cáo nói rằng Apple và Amazon đã tìm thấy những con chip này trên các thiết bị mà họ đã mua. Supermicro, Apple và Amazon đã công khai yêu cầu Bloomberg Businessweek rút lại báo cáo.

Căn cứ theo nhiều báo cáo hơn, rõ ràng là báo cáo của Bloomberg Businessweek cũng chỉ mới nắm bắt được một phần của chuỗi sự kiện lớn hơn mà các quan chức Mỹ đã nghi ngờ, sau đó điều tra, giám sát và cố gắng quản lý hành vi liên tục thao túng các sản phẩm Supermicro từ phía Trung Quốc.

Năm 2010, Bộ Quốc phòng Hoa Kỳ phát hiện ra rằng hàng ngàn máy chủ máy tính của họ đang gửi dữ liệu mạng quân sự đến Trung Quốc do mã ẩn trong con chip xử lý quá trình khởi động của máy.

Vào năm 2014, Intel đã phát hiện ra rằng một nhóm hacker có hạng của Trung Quốc đã sử dụng máy chủ để tải phần mềm độc hại từ trang web cập nhật của nhà cung cấp và xâm phạm mạng của họ.

Vào năm 2015, FBI đã đưa ra cảnh báo cho nhiều công ty rằng các đặc vụ Trung Quốc đã cấy một con chip bổ sung có mã cửa hậu trong máy chủ của nhà sản xuất.

Các cuộc tấn công với cách thức khác biệt này lại có cùng hai điểm chung là: Trung Quốc và Super Micro Computer Inc, nhà sản xuất phần cứng máy tính có trụ sở tại San Jose, California. Các điệp viên Mỹ đã phát hiện ra các hoạt động này, nhưng trong khi cố gắng chống lại mọi cuộc tấn công và tìm hiểu thêm về năng lực của phía Trung Quốc, thì về cơ bản họ vẫn giữ bảo mật thông tin. 

Theo 14 cựu quan chức chấp pháp và tình báo quen thuộc với vấn đề này cho biết, việc Trung Quốc sử dụng các sản phẩm do Supermicro sản xuất đã phải chịu sự giám sát của liên bang trong phần lớn thời gian trong thập kỷ qua, bao gồm cuộc điều tra phản gián của FBI, bắt đầu vào khoảng năm 2012. Theo đó, 5 trong số các quan chức cho biết, các đặc vụ đã bắt đầu sử dụng lệnh ủy quyền có được theo Đạo luật Giám sát Tình báo Nước ngoài (FISA) để giám sát việc truyền tin của một nhóm nhỏ nhân viên Supermicro.

Không rõ cuộc điều tra có còn tiếp tục hay không và kết quả điều tra đầy đủ cũng không được tiết lộ. Nhưng gần đây vào năm 2018, theo các chuyên gia tư vấn từ hai công ty an ninh cho biết, FBI đã yêu cầu bên tư nhân giúp phân tích thiết bị của Supermicro có bổ sung chip.

Cựu quan chức cấp cao của FBI Jay Tabb nói rằng “huyền thoại” của Supermicro thể hiện nguy cơ đang lan rộng trong chuỗi cung ứng toàn cầu, ông đồng ý đưa ra tuyên bố tương tự về sự can thiệp của Trung Quốc đối với các sản phẩm của công ty này. 

Ông Tabb cho biết: “Supermicro là một minh họa hoàn hảo về mức độ nhạy cảm của các công ty Mỹ đối với khả năng giả mạo bất chính tiềm ẩn đối với bất kỳ sản phẩm nào mà họ chọn sản xuất tại Trung Quốc.” “Đó là một ví dụ về trường hợp xấu nhất nếu bạn không có toàn quyền giám sát đối với nơi sản xuất thiết bị của bạn”. Ông từng là Trợ lý Điều hành Giám đốc Cục An ninh Quốc gia của FBI từ năm 2018 cho đến khi nghỉ hưu vào tháng 1/2020.

Ông Tabb từ chối thảo luận về nội dung cụ thể của cuộc điều tra của FBI: “Chính phủ Trung Quốc đã làm việc này trong một thời gian dài, và các công ty Mỹ cần biết rằng Trung Quốc đang làm điều này. Và đặc biệt là Thung lũng Silicon cần thôi giả vờ rằng điều này không xảy ra”

Trong suốt quá trình này, các quan chức chính phủ đã che giấu những phát hiện của họ với công chúng. Theo 3 cựu quan chức Mỹ, bản thân Supermicro cũng không được thông báo về cuộc điều tra phản gián của FBI.

Khi các cơ quan Chính phủ Hoa Kỳ đưa ra cảnh báo cho các công ty nhất định và tìm kiếm sự trợ giúp từ các chuyên gia bên ngoài, công việc bảo mật đôi khi bị bỏ qua.

Cựu thành viên Navy SEAL và đồng sáng lập công ty tăng tốc khởi nghiệp an ninh mạng DataTribe, ông Mike Janke cho biết: “Vào đầu năm 2018, hai công ty bảo mật mà tôi tư vấn đã được bộ phận phản gián của FBI thông báo tóm tắt về việc phát hiện ra các chip độc hại được bổ sung trên bo mạch chủ của Supermicro. Hai công ty này sau đó đã tham gia vào cuộc điều tra của chính phủ, ở đó họ đã sử dụng pháp y phần cứng tiên tiến trên các bo mạch Supermicro giả mạo thực tế để xác thực sự tồn tại của các chip độc hại được thêm vào.” 

Công ty của ông Mike Janke và các cựu thành viên của cộng đồng tình báo Hoa Kỳ đã cùng nhau ươm tạo các công ty khởi nghiệp. Ông nói hai công ty không được phép nói về công việc này một cách công khai, nhưng họ đã chia sẻ với ông một cách chi tiết về các phân tích của họ. Ông đồng ý thảo luận chung chung về các phát hiện của họ để nâng cao nhận thức về mối đe dọa gián điệp của Trung Quốc trong chuỗi cung ứng công nghệ.

Cả Supermicro và bất kỳ nhân viên nào của công ty đều sẽ không bị cáo buộc có hành vi sai trái và cựu quan chức Mỹ cung cấp thông tin cho báo cáo này cũng nhấn mạnh rằng bản thân công ty không phải là mục tiêu của bất kỳ cuộc điều tra phản gián nào.

Đáp lại, Supermicro tuyên bố rằng “Chính phủ Hoa Kỳ hoặc bất kỳ khách hàng nào của chúng tôi chưa bao giờ liên hệ với công ty về cuộc điều tra này.” Công ty tuyên bố rằng Bloomberg đã tập hợp “các cáo buộc hỗn tạp và không chính xác” để “đưa ra những kết luận sai lầm.”

Công ty nói rằng các cơ quan liên bang, bao gồm cả những cơ quan đang bị điều tra được mô tả trong bài báo này, vẫn đang mua các sản phẩm của Super Micro. Công ty cũng chỉ ra rằng báo cáo về cuộc điều tra phản gián này thiếu chi tiết đầy đủ, bao gồm cả kết quả của cuộc điều tra và liệu nó có đang diễn ra hay không.

Sau đây là nội dung cụ thể của bản báo cáo dài này:

“Xâm nhập trái phép”

Supermicro, được thành lập vào năm 1993 bởi Charles Liang, một người Đài Loan nhập cư, nhằm tận dụng lợi thế của chuỗi cung ứng toàn cầu. Nhiều bo mạch chủ của nó – các cụm chip và mạch chạy các thiết bị điện tử hiện đại – được sản xuất bởi các nhà thầu ở Trung Quốc và sau đó được lắp ráp thành các máy chủ ở Hoa Kỳ và các nơi khác.

Doanh thu năm ngoái của công ty là 3,3 tỷ USD. Trong kỷ nguyên của điện toán đám mây, thiết bị máy tính của công ty đã trở nên phổ biến. Các bo mạch chủ của công ty nằm trong các sản phẩm khác nhau, từ máy quét hình ảnh y tế đến các thiết bị an ninh mạng. Supermicro từ chối trả lời các câu hỏi về việc liệu họ có phụ thuộc vào các nhà sản xuất theo hợp đồng ở Trung Quốc hiện nay hay không.

Trong một tiết lộ bất thường vào tháng 5/2019, Supermicro nói với các nhà đầu tư rằng mạng máy tính của chính họ đã bị tấn công trong nhiều năm. Công ty viết: “Trong khoảng thời gian từ năm 2011 đến năm 2018, mạng của chúng tôi đã xảy ra các vụ xâm nhập trái phép. Không có hành vi xâm nhập nào trong số này, riêng lẻ hoặc tổng thể, có ảnh hưởng bất lợi nghiêm trọng đến hoạt động kinh doanh, hoạt động hoặc sản phẩm của chúng tôi”. Công ty đã không trả lời các yêu cầu về chi tiết bổ sung về những cuộc xâm nhập này.

Trước khi các sản phẩm của Supermicro liên tục bị Chính phủ Hoa Kỳ giám sát, các quan chức liên bang đã bày tỏ lo ngại về vai trò thống trị của Trung Quốc trong ngành sản xuất điện tử toàn cầu.

Một nhà cung cấp khác của Lầu Năm Góc cũng nhận được sự chú ý là Tập đoàn công nghệ Lenovo Group Ltd. của Trung Quốc. Năm 2008, các nhà điều tra Hoa Kỳ phát hiện ra rằng các đơn vị quân đội ở Iraq đang sử dụng máy tính xách tay Lenovo trong đó phần cứng đã bị thay đổi. Khám phá này xuất hiện sau đó trong lời khai ít được biết đến của một vụ án hình sự ở Hoa Kỳ – một mô tả công khai hiếm hoi về một vụ hack phần cứng của Trung Quốc.

Ông Lee Chieffalo, người quản lý một trung tâm hoạt động mạng của Thủy quân lục chiến gần Fallujah, Iraq, đã làm chứng trong vụ việc năm 2010: “Một lượng lớn máy tính xách tay Lenovo đã được bán cho quân đội Hoa Kỳ. Những máy tính xách tay này có một con chip được mã hóa trên bo mạch chủ để ghi lại tất cả dữ liệu được nhập vào máy tính đó và gửi về Trung Quốc. Đó là một lỗ hổng bảo mật rất lớn. Chúng tôi không biết họ lấy được bao nhiêu dữ liệu, nhưng chúng tôi đã phải gỡ bỏ tất cả các hệ thống đó khỏi mạng.”

Ba cựu quan chức Mỹ đã xác nhận mô tả của Chieffalo về một con chip được bổ sung trên bo mạch chủ Lenovo. Họ nói rằng tình tiết này là một lời cảnh báo cho Chính phủ Hoa Kỳ đối với Chính phủ Mỹ về những thay đổi phần cứng.

Người phát ngôn của Lenovo, bà Charlotte West cho biết trong một email, rằng Lenovo không biết về lời khai và quân đội Hoa Kỳ đã không nói với công ty về bất kỳ vấn đề bảo mật nào đối với các sản phẩm của họ. Các quan chức Mỹ đã tiến hành “một cuộc điều tra sâu rộng về nền tảng và mức độ đáng tin cậy của Lenovo” trong khi xem xét các thương vụ mua lại IBM và Google của Lenovo vào năm 2014. Cả hai giao dịch mua đã được chấp thuận.

Bà Charlotte West nói: “Vì không có báo cáo về vấn đề này, chúng tôi không thể đánh giá các cáo buộc mà bạn đã viện dẫn, cũng như không thể đánh giá liệu vấn đề an ninh có thể là do sự can thiệp của bên thứ ba hay không.”

Ba quan chức Mỹ cho biết, sau vụ phát hiện năm 2008, Bộ Quốc phòng đã âm thầm chặn phần cứng của Lenovo khỏi một số dự án nhạy cảm, nhưng không loại bỏ công ty khỏi danh sách các nhà cung cấp được Lầu Năm Góc phê duyệt.

Vào năm 2018, Quân đội Mỹ đã trang bị cho lực lượng không quân các máy tính hiệu Lenovo trị giá đến 2,2 triệu USD. Trong một báo cáo ăm 2019, dòng sản phẩm này đã bị giới thanh tra Lầu năm góc đánh giá là “tồn tại lỗ hổng bảo mật”.

Theo báo cáo, Bộ Quốc phòng cần một quy trình tốt hơn để đánh giá việc mua công nghệ và thực hiện các lệnh cấm khi cần thiết.

Tấn công Lầu Năm Góc

Khoảng đầu năm 2010, một nhóm an ninh của Lầu Năm Góc đã nhận thấy hành vi bất thường trong các máy chủ của Supermicro trong các mạng không bảo mật của mình.

Theo 6 cựu quan chức cấp cao đã mô tả một cuộc điều tra bí mật về vụ việc, những chiếc máy này bị phát hiện đã tải các hướng dẫn trái phép, chỉ dẫn mỗi chiếc bí mật sao chép dữ liệu về bản thân và mạng của mình sau đó gửi thông tin này đến Trung Quốc. Một quan chức cho biết Lầu Năm Góc đã tìm thấy thiết bị gắn thêm vào trong hàng ngàn máy chủ; một người khác mô tả nó là “phổ biến khắp nơi.”

Các quan chức cho biết các nhà điều tra đã quy các mã giả này cho phía tình báo Trung Quốc. Một cựu quan chức cấp cao của Lầu Năm Góc cho biết “không có sự mơ hồ” nào trong việc xác định này.

Không có bằng chứng nào cho thấy thiết bị gắn thêm vào đã lấy đi bất kỳ chi tiết nào trong các hoạt động quân sự. Nhưng những kẻ tấn công đã nhận được một thứ có giá trị: dữ liệu chiếm một phần bản đồ của các mạng không bảo mật của Bộ Quốc phòng. Các nhà phân tích cũng lo ngại rằng thiết bị gắn thêm vào – thứ mà những kẻ tấn công đã cố gắng che giấu – có thể là một vũ khí kỹ thuật số có thể tắt các hệ thống này trong khi xung đột.

Theo 3 quan chức được thông báo về kế hoạch này, vào năm 2013, các nhà lãnh đạo Hoa Kỳ đã quyết định giữ bí mật về phát hiện và để cuộc tấn công diễn ra mà không xác định mục tiêu cuối cùng của Trung Quốc. Các quan chức này cho biết, ông Keith Alexander, khi đó là Giám đốc Cơ quan An ninh Quốc gia, đóng vai trò trung tâm trong quyết định này. Hai trong số các quan chức nói rằng Lầu Năm Góc đã nghĩ ra các biện pháp đối phó không thể phát hiện để bảo vệ hệ thống mạng của mình.

Hai quan chức cho biết, các động thái này cho phép các điệp viên của Hoa Kỳ bắt đầu thu thập thông tin tình báo về các kế hoạch của Trung Quốc mà không kinh động đến Bắc Kinh.

Một phát ngôn viên của Alexander đã chuyển các câu hỏi tới Cơ quan An ninh Quốc gia Hoa Kỳ NSA. Cơ quan này từ chối bình luận, ngoại trừ tuyên bố: “NSA không thể xác nhận liệu sự cố này – hoặc các hành động phản ứng tiếp theo được mô tả – đã từng xảy ra hay không.”

Một quan chức cấp cao của Nhà Trắng từ chối bình luận về thông tin trong báo cáo. Quan chức này cho biết trong một tuyên bố gửi qua email: “Chúng tôi sẽ không bình luận về vấn đề cụ thể này. Về vấn đề chung, Tổng thống đã cam kết rằng chính phủ của ông sẽ tiến hành đánh giá chuỗi cung ứng trên phạm vi rộng đối với nhiều loại hàng hóa và lĩnh vực khác nhau để xác định các rủi ro an ninh quốc gia quan trọng. Khi chúng tôi sẵn sàng chia sẻ, chúng tôi sẽ có thêm thông tin chi tiết về bài đánh giá.” 

Các cơ quan liên bang khác, bao gồm Văn phòng Giám đốc Tình báo Quốc gia, Bộ An ninh Nội địa và FBI, từ chối bình luận về báo cáo này.

Một phát ngôn viên của Bộ Quốc phòng cho biết, các quan chức thường không bình luận về các cuộc điều tra, các vấn đề tình báo hoặc các nhà cung cấp cụ thể. Trả lời câu hỏi về cuộc điều tra năm 2010 của Lầu Năm Góc, một quan chức cho biết chính phủ đã tìm cách bảo vệ chuỗi cung ứng của mình. 

Bà Ellen Lord, người từng là Thứ trưởng Quốc phòng Hoa Kỳ phụ trách việc mua sắm và duy trì, trước khi từ chức vào ngày 20/1, cho biết: “Trước những nỗ lực của đối thủ, Bộ Quốc phòng đã thực hiện nhiều bước để liên tục cố gắng loại trừ các sản phẩm hoặc công ty có nguy cơ đe dọa đến an ninh quốc gia của chúng ta”. Bà không nêu tên Supermicro hay bất kỳ công ty nào khác.

Khi họ điều tra các trung tâm dữ liệu của Lầu Năm Góc, các quan chức chính phủ đã thực hiện các bước kín đáo để cố gắng ngăn chặn việc sử dụng các sản phẩm của Supermicro trong các mạng an ninh quốc gia nhạy cảm – mặc dù công ty vẫn nằm trong danh sách công khai các nhà cung cấp được phê duyệt.

Ông Adrian Gardner, cựu giám đốc thông tin của Trung tâm Chuyến bay Vũ trụ Goddard của NASA ở Greenbelt, Maryland, cho biết trước khi rời NASA vào năm 2013, trong quá trình xem xét hệ thống máy tính của Goddard, ông đã biết được mối quan tâm của các cơ quan tình báo về các sản phẩm của Supermicro.

Ông Gardner từ chối thảo luận chính xác những gì ông được biết hoặc liệu NASA có loại bỏ bất kỳ phần cứng nào hay không. Nhưng ông nói rằng thông điệp rất rõ ràng: “Chính phủ Mỹ phải sử dụng mọi biện pháp kiểm soát để đảm bảo rằng họ không triển khai thiết bị từ Supermicro trong ranh giới hệ thống của các tài sản có giá trị cao và các mạng nhạy cảm.”

Các cơ quan Hoa Kỳ tiếp tục mua các sản phẩm của Supermicro. Theo thông cáo báo chí do công ty phát hành, Trung tâm Goddard của NASA đã mua một số sản phẩm cho một mạng lưới không bảo mật dành cho nghiên cứu khí hậu vào năm 2017. Và năm ngoái, Phòng thí nghiệm Quốc gia Lawrence Livermore, cơ quan chuyên nghiên cứu về vũ khí hạt nhân, đã mua thiết bị Supermicro cho nghiên cứu chưa được phân loại về COVID-19.

Mã tùy chỉnh

Khi các chuyên gia quân sự điều tra các lỗ hổng của Lầu Năm Góc, họ xác định rằng các hướng dẫn độc hại chỉ dẫn các máy chủ của Lầu Năm Góc được ẩn trong hệ thống đầu vào – đầu ra cơ bản của máy móc, hoặc BIOS, một phần của bất kỳ máy tính nào cho nó biết phải làm gì khi khởi động.

Hai người có kiến ​​thức trực tiếp cho biết thao tác này kết hợp hai đoạn mã: Đoạn đầu tiên được nhúng trong các hướng dẫn quản lý trình tự khởi động và không thể dễ dàng xóa hoặc cập nhật. Đoạn mã này ghi lại các hướng dẫn bổ sung được ẩn trong bộ nhớ không sử dụng của chip BIOS và ngay cả những khách hàng am hiểu về bảo mật cũng không thể tìm thấy chúng. Khi máy chủ được bật, bộ cấy sẽ được tải vào bộ nhớ chính của máy, nơi nó tiếp tục gửi dữ liệu theo định kỳ.

Các nhà sản xuất như Supermicro thường cấp phép hầu hết mã BIOS của họ từ các bên thứ ba. Nhưng theo 6 cựu quan chức Hoa Kỳ thông báo tóm tắt về kết quả nghiên cứu, thì các chuyên gia chính phủ đã xác định rằng một phần của thiết bị cấy ghép nằm trong mã do các công nhân liên kết với Supermicro tùy chỉnh.

Các nhà điều tra đã kiểm tra mã BIOS trong các máy chủ của Bộ Quốc phòng Hoa Kỳ (DoD) sản xuất bởi các nhà cung cấp khác thì không tìm thấy vấn đề nào tương tự. Nhưng họ đã phát hiện ra cùng một đoạn mã bất thường giống nhau trong các máy chủ Supermicro được sản xuất vào các thời điểm khác nhau ở các nhà máy khác nhau, cho thấy thiết bị cấy ghép đã được đưa vào trong giai đoạn thiết kế.

6 quan chức nói rằng về tổng thể, các phát hiện chỉ ra rằng cơ quan tình báo Trung Quốc đã xâm nhập vào kỹ thuật BIOS của Supermicro.

Theo 5 cựu quan chức Hoa Kỳ, năm 2012, FBI đã mở một cuộc điều tra phản gián và các đặc vụ tại văn phòng hiện trường San Francisco đã sử dụng lệnh Đạo luật Giám sát Tình báo Nước ngoài (FISA) để theo dõi liên lạc của một số người có liên hệ với Supermicro.

Ba trong số các quan chức cho biết, FBI có bằng chứng cho thấy công ty đã bị xâm nhập có chủ đích hoặc vô ý bởi những người làm việc cho Trung Quốc. Họ từ chối giải thích bằng chứng này.

Các quan chức cho biết, Đạo luật Giám sát Tình báo Nước ngoài (FISA) bao gồm các cá nhân ở vị trí thay đổi công nghệ của công ty và không tập trung vào các giám đốc điều hành cấp cao. 

Không rõ cuộc giám sát đó tiếp tục trong bao lâu. Bộ Tư pháp vẫn chưa thừa nhận cuộc điều tra, cũng như không công bố bất kỳ cáo buộc nào liên quan đến nó. Các cuộc điều tra phản gián nhằm theo dõi và làm gián đoạn các hoạt động tình báo nước ngoài trên đất Mỹ và hiếm khi dẫn đến các vụ án hình sự. 

Đến năm 2014, các nhà điều tra trong Chính phủ Hoa Kỳ đang tìm kiếm bất kỳ hình thức thao túng bổ sung nào – bất cứ điều gì họ có thể đã bỏ qua, như một cựu quan chức Lầu Năm Góc đã nói. Trong vòng vài tháng, thông qua thông tin do các cơ quan tình báo Mỹ cung cấp, FBI đã phát hiện ra một loại thiết bị bị thay đổi khác: thêm chip độc hại vào bo mạch chủ Supermicro.

Bo mạch chủ Supermicro X11SAE. (Ảnh: Wikipedia / Frank Schwichtenberg / CC BY 4.0)

Đã gửi cảnh báo

Theo 7 cựu quan chức Hoa Kỳ, những người đã được báo cáo tóm tắt từ năm 2014 đến năm 2017, các chuyên gia chính phủ coi việc sử dụng các thiết bị này là một bước tiến đáng kể trong khả năng tấn công phần cứng từ phía Trung Quốc. Các con chip chỉ thêm một lượng nhỏ mã vào máy móc, mở ra một cánh cửa cho những kẻ tấn công, các quan chức cho biết.

Hai trong số các quan chức trên cho biết, theo thời gian, các lô bo mạch chủ nhỏ có thêm chip đã bị phát hiện và nhiều sản phẩm của Supermicro không bao gồm các chip này.

Cảm thấy bị sốc trước sự tinh vi của các thiết bị này, các quan chức đã chọn cảnh báo một số lượng nhỏ các mục tiêu tiềm năng trong thông báo và chỉ ra tên Supermicro. Các giám đốc điều hành từ 10 công ty và một công ty tiện ích lớn của thành phố nói với Bloomberg News rằng họ đã nhận được những cảnh báo như vậy. Mặc dù hầu hết các giám đốc điều hành yêu cầu không nêu tên các vấn đề nhạy cảm về an ninh mạng, một số họ đã đồng ý thảo luận công khai về chúng.

Ông Mukul Kumar cho biết: “Đây là hoạt động gián điệp chống lại chính bo mạch chủ”, ông đã nhận được một cảnh báo như vậy trong một cuộc họp giao ban không bảo mật vào năm 2015 khi ông là giám đốc an ninh của Altera Corp, một nhà thiết kế chip ở San Jose. “Có một con chip trên bo mạch chủ không nên có ở đó, báo cáo về nhà, không phải cho Supermicro, mà là cho Trung Quốc.”

Ông Kumar cho biết Altera, được Intel mua vào tháng 12/2015, không sử dụng các sản phẩm của Supermicro, vì vậy công ty xác định rằng nó không gặp rủi ro.

Sau cuộc họp trực tiếp của mình, ông Kumar chia sẻ, ông được biết các đồng nghiệp tại hai công ty bán dẫn khác ở Thung lũng Silicon cũng đã nhận được cảnh báo tương tự của FBI. Khi nói về cuộc thảo luận của mình với các nhân viên FBI, ông Kumar nói: “Các đặc vụ cho biết đây không phải là trường hợp chỉ xảy ra một lần; họ nói rằng điều này đang ảnh hưởng đến hàng ngàn máy chủ”.

Hiện vẫn chưa rõ có bao nhiêu công ty bị ảnh hưởng bởi cuộc tấn công chip bổ sung. Báo cáo năm 2018 của Bloomberg dẫn lời một quan chức đưa ra con số là gần 30, nhưng không khách hàng nào thừa nhận việc tìm thấy chip độc hại trên bo mạch chủ Supermicro.

Một số giám đốc điều hành nhận được cảnh báo cho biết thông tin này chứa quá ít chi tiết về cách tìm bất kỳ chip giả mạo nào. Hai cựu quan chức cấp cao cho biết các chi tiết kỹ thuật đã được giữ bí mật. 

Ông Mike Quinn, một giám đốc điều hành an ninh mạng từng đảm nhiệm các vai trò cấp cao tại Cisco Systems Inc và Microsoft Corp, cho biết ông đã được các quan chức từ Không quân Hoa Kỳ thông báo tóm tắt về các chip bổ sung trên bo mạch chủ Supermicro. Ông Quinn đang làm việc cho một công ty là nhà thầu tiềm năng cho các hợp đồng của Lực lượng Không quân và các quan chức muốn đảm bảo rằng mọi công việc sẽ không bao gồm thiết bị của Supermicro. Bloomberg đồng ý không nêu rõ thời điểm ông Quinn nhận được cuộc họp báo hay xác định công ty mà ông đang làm việc vào thời điểm đó.

“Đây không phải là trường hợp một gã lấy trộm bo mạch chủ và hàn một con chip trong phòng khách sạn của anh ta; nó đã được tích hợp sẵn trong thiết bị cuối,” ông nhớ lại các chi tiết do các quan chức Không quân cung cấp. Ông nói: “Con chip được trộn vào một bo mạch chủ nhiều lớp.”

Ông Quinn cũng cho biết: “Kẻ tấn công biết bo mạch chủ được thiết kế như thế nào, vì vậy nó có thể vượt qua bài kiểm tra đảm bảo chất lượng.”

Một phát ngôn viên của Lực lượng Không quân cho biết trong một email rằng thiết bị Supermicro không bị loại khỏi các hợp đồng của Không quân Hoa Kỳ (USAF) theo bất kỳ ủy quyền pháp lý công khai nào. Nói chung, Bộ Quốc phòng có các lựa chọn không công khai để quản lý rủi ro chuỗi cung ứng trong các hợp đồng cho các hệ thống an ninh quốc gia.

Các loại chip gián điệp không chỉ được giấu sâu trong các bảng mạch ở các dòng máy tính tư nhân. Các giám đốc an ninh mạng của 4 cơ quan Mỹ trả lời kênh Bloomberg, trong thời gian cộng tác với Bộ quốc phòng Mỹ thời gian 2015 – 2017, họ từng thảo luận về các chip bổ sung trên bo mạch chủ Supermicro.

Và theo Janke, cố vấn của hai công ty hỗ trợ phân tích, FBI đang kiểm tra các mẫu bo mạch chủ Supermicro bị chế tác trong năm 2018.

Ông Darren Mott, người giám sát các cuộc điều tra phản gián tại văn phòng vệ tinh Huntsville, Alabama, cho biết vào tháng 10/2018, một đồng nghiệp có uy tín của FBI đã mô tả cho ông chi tiết quan trọng về các chip được bổ sung.

Ông Mott, hiện đã nghỉ hưu, nói rằng: “Những gì tôi được biết là có một thành phần nhỏ trên bo mạch chủ không nên tồn tại. FBI biết rằng những hoạt động này do Trung Quốc thực hiện và biết rằng đây là lý do đáng lo ngại và nhắc nhở chú ý đến các thực thể này.” Ông nhấn mạnh rằng thông tin này được chia sẻ trong môi trường không bảo mật.

Ông cho biết vào thời điểm đó đã khuyên các công ty đã hỏi ông về chip nên xem xét vấn đề một cách nghiêm túc. 

Thay đổi bản cập nhật

Các nhà điều tra của công ty đã phát hiện ra một cách khác mà tin tặc Trung Quốc khai thác các sản phẩm của Supermicro. Vào năm 2014, các giám đốc điều hành tại Intel đã lần ra một lỗ hổng bảo mật trong mạng của họ đối với một bản cập nhật chương trình cơ sở firmware thường xuyên được tải xuống từ trang web của Supermicro.

Các giám đốc điều hành bảo mật của Intel, dựa trên bản trình chiếu (slideshow) mà họ đã gửi cho một cuộc gặp các đồng nghiệp trong ngành công nghệ vào năm 2015, kết luận rằng một tổ chức hacker có tay nghề của Trung Quốc đã thực hiện vụ tấn công. Hai người tham gia đồng ý chia sẻ các chi tiết của bài thuyết trình.

Trước những câu hỏi về vụ việc, người phát ngôn của Intel cho biết, sự cố được phát hiện sớm và không gây mất dữ liệu.

Người phát ngôn của hãng, bà Tara Smith, cho biết: “Vào năm 2014, bộ phận CNTT của Intel đã xác định và nhanh chóng giải quyết sự cố được tìm thấy trong phần mềm không phải của Intel trên hai hệ thống trong một phần mạng của chúng tôi. Mạng và dữ liệu của chúng tôi không bị ảnh hưởng.” Cô từ chối giải thích.

Bộ xử lý trung tâm Intel (IntelCore) i9. (Ảnh: Wikipedia / ElooKoN / CC BY-SA 4.0)

Theo những người đã xem bản trình chiếu, nội dung của Intel tập trung vào danh tính của những kẻ tấn công và việc chúng sử dụng trang web cập nhật của nhà cung cấp đáng tin cậy. Theo một người quen thuộc với vấn đề này, một người liên lạc trong cộng đồng tình báo Mỹ đã cảnh báo về lỗ hổng cho công ty. Manh mối này đã giúp các nhà điều tra của Intel xác định rằng kẻ tấn công đến từ một tổ chức được nhà nước Trung Quốc hậu thuẫn có tên APT 17.

Theo các công ty an ninh mạng bao gồm Symantec và FireEye, APT 17 chuyên tấn công vào chuỗi cung ứng phức tạp và thường tấn công nhiều mục tiêu để tiếp cận nạn nhân đã nhắm trước. Vào năm 2012, tổ chức này đã tấn công công ty an ninh mạng Bit9 để tiếp cận các nhà thầu quốc phòng được bảo vệ bởi các sản phẩm của Bit9.

Các nhà điều tra của Intel phát hiện ra rằng một máy chủ Supermicro đã bắt đầu giao tiếp với APT 17 ngay sau khi nhận được bản vá phần sụn từ một trang web cập nhật mà Supermicro đã thiết lập cho khách hàng. Theo mô tả được Intel giới thiệu, bản thân phần sụn không bị giả mạo; phần mềm độc hại đến như một phần của tệp nén (ZIP) được tải xuống trực tiếp từ trang web.

Cơ chế phân phối này tương tự như cơ chế được sử dụng trong vụ hack SolarWinds gần đây, trong đó Nga bị cáo buộc nhắm mục tiêu vào các cơ quan chính phủ và công ty tư nhân thông qua các bản cập nhật phần mềm. Nhưng có một điểm khác biệt chính: Trong trường hợp của Intel, phần mềm độc hại ban đầu chỉ xuất hiện ở một trong số hàng ngàn máy chủ của công ty –  và chỉ trên một máy chủ khác vài tháng sau đó. Các nhà điều tra của Intel kết luận rằng những kẻ tấn công có thể nhắm mục tiêu vào các máy cụ thể, làm giảm đáng kể khả năng bị phát hiện. Ngược lại, mã độc đã đến với 18.000 người dùng SolarWinds.

Theo mô tả trong bài thuyết trình của công ty, các giám đốc điều hành của Intel đã nói với Supermicro về cuộc tấn công ngay sau khi nó xảy ra.

Supermicro đã không trả lời các câu hỏi chi tiết về vụ việc, nhưng cho biết: “Intel đã đưa ra một vấn đề mà chúng tôi không thể xác minh, nhưng vì thận trọng, chúng tôi đã nhanh chóng thực hiện các biện pháp xử lý.” Hai công ty tiếp tục kinh doanh với nhau.

Theo hai nhà tư vấn đã tham gia vào các cuộc điều tra của công ty và yêu cầu giấu tên, các vi phạm liên quan đến trang cập nhật của Supermicro tiếp tục xảy ra sau sự kiện Intel.

Trong các sự cố xảy ra tại hai công ty không thuộc Hoa Kỳ, một vào năm 2015 và một vào năm 2018, theo một người đã tư vấn về cả hai sự cố thì những kẻ tấn công đã lây nhiễm một máy chủ Supermicro bằng cách cập nhật trang web. Người này từ chối tiết lộ danh tính của các công ty có liên quan đến ngành sắt thép với lý do thỏa thuận bảo mật. Người này cho biết nghi phạm chính trong các vụ xâm nhập là Trung Quốc. 

Theo một nhà tư vấn tham gia cuộc điều tra, năm 2018, một nhà sản xuất theo hợp đồng lớn của Hoa Kỳ đã phát hiện mã độc trong bản cập nhật BIOS từ trang web Supermicro, nhà tư vấn từ chối tiết lộ tên nhà sản xuất. Bloomberg đã xem xét một phần của báo cáo điều tra.

Hiện không rõ liệu 3 công ty có thông báo cho Supermicro về vấn đề cập nhật trang web của họ hay không, Supermicro đã không trả lời các câu hỏi liên quan.

Ngày nay, khi vụ hack SolarWinds vẫn đang được điều tra, những lo ngại về an ninh quốc gia về chuỗi cung ứng công nghệ đã bùng nổ trong giới chính trị Hoa Kỳ. Các quan chức Mỹ kêu gọi các nhà sản xuất lập chính sách chuỗi cung ứng chặt chẽ hơn và khuyến khích các nhà sản xuất đảm bảo an toàn cho mã và phần cứng của họ.

Ông Frank Figliuzzi, trợ lý giám đốc phản gián của FBI cho đến năm 2012, cho biết: “Câu chuyện bi thảm của Supermicro là hồi chuông cảnh tỉnh cho ngành công nghiệp này.” Ông Figliuzzi từ chối đề cập chi tiết cụ thể, nhưng đồng ý nói công khai về ảnh hưởng đối với lịch sử của Supermicro bởi hành vi gián điệp của Trung Quốc.

“Nếu bạn nghĩ rằng câu chuyện này chỉ liên quan đến một công ty, bạn đã bỏ lỡ vấn đề,” ông nói: “Đối với bất kỳ ai trong chuỗi cung ứng của ngành công nghệ, đừng để điều này xảy ra với bạn”.

Thành Dung, Vision Times

Xem thêm: