Новости

Большой взлом: Как Китай внедрился в компании США с помощью крошечного чипа
Источники в правительстве и корпорациях в обширных интервью говорят об атаках китайских шпионов на почти 30 американских компаний, включая Amazon и Apple, путем взлома цепочки поставок технологий в Америке.

Авторы: Джордан Робертсон и Майкл Райли

В 2015 году Amazon.com Inc. начала обычную оценку стартапа под названием Elemental Technologies – потенциального приобретения, которое должно было помочь существенно расширить возможности его сервиса потокового видео, известное сегодня как Amazon Prime Video. Основанная в Портленде, штат Орегон, компания Elemental создавала программное обеспечение для сжатия массивных видеофайлов и их форматирования для различных устройств. Эта технология помогла осуществить потоковую передачу Олимпийских игр в режиме онлайн, вязаться с Международной космической станцией и вести кадровую съемку Центральным разведывательным управлением. Контракты Elemental в сфере государственной безопасности не были основной причиной предлагаемого приобретения, но они хорошо подходили для деятельности Amazon с государственным предприятиям, такими как высокозащищённые облачные сервисы, которое Amazon Web Services (AWS) создавали для ЦРУ.

По словам человека, знакомого со всем процессом, чтобы помочь с юридической экспертизой, AWS, которая контролировала предполагаемое приобретение, наняла стороннюю компанию для тщательной проверки безопасности Elemental. Первая проверка выявила проблемы, вызывающие беспокойство, побудив AWS более внимательно рассмотреть основной продукт Elemental: дорогие серверы, которые клиенты установили в своих сетях для обработки сжатия видео. Эти серверы были собраны для Elemental компанией Super Micro Computer Inc., расположенной в Сан-Хосе (широко известной как Supermicro), которая также является одним из крупнейших поставщиков серверных материнских плат, установленных на стекловолокне кластерах чипов и конденсаторов, которые работают как нейроны больших и малых центров обработки данных. Говорят, что в конце весны 2015 года сотрудники Elemental упаковали несколько серверов и отправили их в Онтарио, Канада, на тестирование сторонней компанией по безопасности.

Тестеры обнаружили вложенным в материнские платы серверов крошечный, не больше рисового зернышка, микрочип, который не был частью оригинальной конструкции плат. Amazon сообщила о находке американским властям, заставив вздрогнуть разведывательное сообщество. Серверы Elemental использовались в центрах обработки данных Министерства обороны, в операциях беспилотников ЦРУ и бортовых сетях боевых кораблей ВМФ. И Elemental был всего лишь одним из сотен клиентов Supermicro.

Во время последующей сверхсекретной проверки, которая остается открытой более трех лет спустя, следователи определили, что чипы позволили взломщикам создать незаметный проход в любую сеть, включавшую измененные машины. Многие, знакомые с этим вопросом, говорят, что следователи обнаружили, что чипы были вставлены на фабриках, которые руководят субподрядчики в Китае.

Эта атака была чем-то более серьезным, чем инциденты, связанные с программным обеспечением, к которым мир привык. Аппаратный взлом сложнее удалить и потенциально он более разрушителен, и подразумевает долгосрочный незаметный доступ, в получение которого шпионские агентства готовы вкладывать миллионы долларов много лет.

«Хорошо сделанная поверхность для внедрения аппаратуры на государственном уровне – это все равно, что единорог, прыгающий через радугу»

У шпионов есть два способа изменить внутренности компьютерной техники. Один, известный как запрет, состоит в манипулировании устройствами на их пути от производителя к клиенту. Этот подход предпочитает американская разведка, согласно документам, обнародованным бывшим сотрудником Агентства национальной безопасности Эдвардом Сноуденом. Другой метод предусматривает внесение изменений в самом начале.

Одна из стран, в частности, имеет преимущество для осуществление такой ​атаки: Китай, который по некоторым оценкам делает 75 процентов всех мобильных телефонов и 90 процентов компьютеров в мире. Тем не менее, сидинг фактически означал бы глубокое понимание конструкции продукта, манипулирование компонентами на заводе и обеспечение того, чтобы измененные устройства попали по глобальной логистической цепочке в нужное место – ловкость сродни бросанию палки в реке Янцзы вверх по течению от Шанхая так, чтобы она оказалась на берегу в Сиэтле. «Хорошо сделанная поверхность для внедрения аппаратуры на государственном уровне – это все равно, что единорог, прыгающий через радугу», говорит Джо Гранд, аппаратный хакер и основатель Grand Idea Studio Inc. «Аппаратное обеспечение настолько далеко от радаров, что взломать его может только волшебник».

Но именно это обнаружили американские следователи: чипы были вставлены в процессе производства, рассказывают два чиновника, оперативниками из подразделения Народно-освободительной армии. В Supermicro китайские шпионы, похоже, нашли идеальный канал для того, что, по словам официальных лиц США, является самой значительной атакой на цепочку поставок, которая, как известно, была проведена против американских компаний.

По словам одного из чиновников, следователи обнаружили, что в конечном итоге это затронуло почти 30 компаний, в том числе крупный банк, правительственных подрядчиков и самую дорогую компанию в мире, Apple Inc. Apple была важным клиентом Supermicro и планировала заказать более 30 000 серверов в течение двух лет для новой глобальной сети центров обработки данных. Три высокопоставленных инсайдера в Apple рассказывают, что летом 2015 года компания также обнаружила вредоносные чипы на материнских платах Supermicro. В следующем году Apple разорвала отношения с Supermicro, списав это на несвязанные причины.

В своих электронных заявлениях Amazon (объявила о приобретении Elemental в сентябре 2015 года), Apple и Supermicro оспаривали резюме отчетов Bloomberg Businessweek. «Это неправда, что на момент приобретения Elemental AWS было известно о взломе в цепочке поставок, проблеме вредоносных чипов или аппаратных модификациях», пишет Amazon. «Наша позиция по этому вопросу очень четкая: Apple никогда не находила вредоносных чипов, «аппаратные манипуляции» или уязвимости, специально установленные на любом сервере», пишет Apple. «Нам по-прежнему ничего не известно о таком расследовании», написал представитель Supermicro Перри Хейс. Китайское правительство напрямую не задавало вопросы о манипулировании серверами Supermicro, выпустив заявление, в котором, в частности, говорилось: «Безопасность цепочки поставок в киберпространстве является проблемой, представляющей общую озабоченность, и Китай также является жертвой». ФБР и Аппарат Директора национальной разведки, представляющие ЦРУ и УНБ отказались от комментариев.

Отрицания компаний опровергают шесть нынешних и бывших высокопоставленных чиновников в сфере национальной безопасности, которые в разговорах, что начались во время администрации Обамы и продолжились при администрации Трампа, подробно рассказали об обнаружении чипов и правительственном расследовании. Один из этих чиновников и два человека в AWS предоставили обширную информацию о том, как происходила атака на Elemental и Amazon; чиновник и один из инсайдеров также рассказали о сотрудничестве Amazon с правительственным расследованием. В дополнение к трем инсайдерам Apple четыре из шести американских чиновников подтвердили, что Apple была жертвой атаки. В целом, 17 человек подтвердили манипуляцию аппаратными средствами Supermicro и другими элементами атак. Источникам была предоставлена ​​анонимность ввиду секретного доступа, а в некоторых случаях секретности этой информации.

Один правительственный чиновник говорит, что целью Китая является долгосрочный доступ к особо ценным корпоративным секретам и сетям, составляющим государственную тайну. Информации о краже потребительских данных нет.

Последствия атаки продолжаются. Администрация Трампа сосредоточила последний раунд торговых санкций против Китая на компьютерном и сетевом оборудовании, в том числе на материнских платах, а официальные лица Белого дома дали понять, что они считают, что в результате атаки компании начнут переводить свои цепочки поставок в другие страны. Такой перевод может помочь чиновникам, которые годами предупреждали о безопасности цепочки поставок, даже несмотря на то, что никогда не раскрывали основную причину их проблем.

Еще в 2006 году у трех инженеров в Орегоне появилась удачная мысль. Вот-вот должен был начаться огромный спрос на мобильное видео, и они предсказывали, что вещатели будут отчаянно нуждаться в возможности преобразования программ, разработанных для телевизионных экранов, в различные форматы, необходимые для просмотра на смартфонах, ноутбуках и прочих устройствах. Чтобы удовлетворить ожидаемый спрос, инженеры создали Elemental Technologies, собрав то, что один бывший советник компании назвал гениальной командой, для написания кода, который бы адаптировал сверхбыстрые графические чипы для высокопроизводительных консолей видеоигр. Полученное программное обеспечение значительно сократило время, затрачиваемое на обработку больших видеофайлов. Затем Elemental загрузил программное обеспечение на пользовательские серверы, украшенные его зелеными логотипами.

По словам бывшего советника компании, серверы Elemental продавались по цене до 100 000 долларов США, при рентабельности до 70 процентов. Двумя крупнейшими первыми клиентами Elemental были мормонская церковь, которая использовала эту технологию для распространения проповедей в конгрегациях по всему миру, и индустрия фильмов для взрослых, которая не использовала её.

Elemental также начал работать с американской разведкой. В 2009 году компания объявила о партнерстве в сфере развития с In-Q-Tel Inc., инвестиционным подразделением ЦРУ, и эта сделка проложила путь для серверов Elemental для их использования в миссиях национальной безопасности в правительстве США. Публичные документы, в том числе собственные рекламные материалы компании, показывают, что серверы использовались в центрах обработки данных Министерства обороны для обработки видеороликов и камер видеонаблюдения на военных кораблях ВМС для передачи потока данных воздушный операций, а также внутри правительственных зданий для обеспечения безопасных видеоконференций. Также его клиентами были НАСА, обе палаты Конгресса и Департамент внутренней безопасности. Такое портфолио делало Elemental целью для иностранных противников.

Supermicro был очевидным выбором для создания серверов Elemental. Штаб-квартира компания была расположена к северу от аэропорта Сан-Хосе, на смоговом отрезке трассы 880, а саму компанию основал Чарльз Лян, тайваньский инженер, который учился в аспирантуре в Техасе, а затем переехал на запад, чтобы в 1993 году основать Supermicro со своей женой. Тогда Кремниевая долина занялась аутсорсингом, прокладывая дорожку от тайваньских, а затем китайских фабрик к американским потребителям, и Лян воспользовался удобным преимуществом: материнские платы Supermicro собирались в основном в Сан-Хосе, рядом с крупнейшими клиентами компании, даже если продукты производились за рубежом.

Сегодня Supermicro продает больше серверных плат, чем кто-либо. Компания также доминирует на рынке в 1 млрд долларов для плат, используемых в специализированных компьютерах, от аппаратов МРТ до систем вооружения. Её материнские платы, кроме прочего, встречаются в сделанных на заказ настройках сервера в банках, хедж-фондах, поставщиках облачных вычислений и услугах веб-хостинга. Supermicro имеет сборочные предприятия в Калифорнии, Нидерландах и Тайване, но её основной продукт – материнские платы – почти все изготовлены подрядчиками в Китае.

Преимущество компании в отношении клиентов зависит от непревзойденной персонализации, что стало возможным благодаря сотням штатным инженеров и каталогу с более чем 600 проектами. По словам шести бывших сотрудников, большая часть сотрудников компании в Сан-Хосе – тайванцы или китайцы, предпочтительным языком является мандаринский китайский с использованием иероглифов. Каждую неделю происходит доставка китайской выпечки, а многие рутинные звонки делают дважды – один раз для работников, владеющих только английским, и еще раз на мандаринском. Последние более продуктивны, по словам людей, которые присутствовали на обоих. Эти зарубежные связи, особенно повсеместное использование мандаринского, упростили бы Китаю задачу понять деятельность Supermicro и потенциально внедриться в компанию. (Американский чиновник говорит, что правительственная проверка все еще изучает, внедрялись ли внедрены в Supermicro или другие американские компании шпионы, чтобы способствовать атаке).

Имея к 2015 году более 900 клиентов в 100 странах, Supermicro решила позариться на заманчивую подборку стратегически важных целей. «Считайте Supermicro Microsoft в мире аппаратного обеспечения», говорит бывший сотрудник американской разведки, изучавший Supermicro и её бизнес-модель. «Атаковать материнские платы Supermicro – это как атаковать Windows. Это как атаковать весь мир».

Безопасность глобальной цепи поставок технологий была скомпрометирована, даже если потребители и большинство компаний еще не знали об этом.

Задолго до того, как доказательства атаки появились в сетях американских компаний, источники в американской разведки сообщали, что китайские шпионы планировали внедрить вредоносные микрочипы в цепочку поставок. По словам человека, знакомого с предоставленной информацией, источники ничего не сказали конкретно, а в США ежегодно отправляются миллионы материнских плат. Но в первой половине 2014 года другой человек, посвященный в обсуждения на высоком уровне, говорит, что представители разведки отправились в Белый дом с чем-то более конкретным: китайские военные готовились вставлять чипы в материнские платы Supermicro, предназначенные для американских компаний.

Информации была очень специфической, но такой же были и вызовы, которые она бросала. Широкое предупреждение клиентов Supermicro могло бы нанести вред компании, крупному американскому производителю аппаратного обеспечения, кроме того, из этой информации было ясно, что было мишенью операции, и каковы ее конечные цели. Плюс, без подтверждения того, что на кого-то напали, ФБР было ограничено тем, как ему отвечать. Белый дом запрашивал периодические обновления по мере поступления информации, рассказывает человек, знакомый с обсуждениями.

По словам человека, знакомого с временной шкалой событий, Apple у себя обнаружила подозрительные чипы на серверах Supermicro примерно в мае 2015 года, когда была замечена странная сетевая активность и проблемы с прошивкой. Двое высокопоставленных инсайдеров из Apple заявили, что компания сообщила об этом инциденте в ФБР, не сообщая подробностей обнаруженного, даже внутри компании. По словам одного из официальных лиц США, государственные следователи все еще терялись в собственных догадках, когда Amazon сделала свое открытие и предоставила им доступ к саботируемому оборудованию. Это стало бесценной возможностью для спецслужб и ФБР, которые к тому моменту вели полное расследование под руководством своих кибер- и контрразведывательных групп, увидеть, как выглядят чипы и как они работают.

По словам человека, который видел подробный отчет, подготовленный для Amazon её сторонним подрядчиком по безопасности, а также по словам другого человека, который видел цифровые фотографии и рентгеновские снимки чипов, включенных в более поздний отчет, подготовленный командой безопасности Amazon, чипы на серверах Elemental были спроектированы максимально незаметными. Серые или грязно-белые, они больше походили на устройства преобразования сигнала, еще один обычный компонент материнской платы, чем на микрочипы, и поэтому их вряд ли можно было обнаружить без специального оборудования. В зависимости от модели платы чипы немного отличались по размеру, что позволяет предполагать, что для разных фабрик у взломщиков были разные партии чипов.

Должностные лица, знакомые с расследованием, говорят, что основная роль имплантатов, таких как эти, заключается в том, чтобы открыть двери для других взломщиков. «Аппаратные атаки – это о доступе», рассказывает один из бывших высокопоставленных чиновников. Проще говоря, имплантаты на аппаратуре Supermicro управляли основными инструкциями по эксплуатации, которые сообщают серверу, что делать, когда данные перемещаются по материнской плате, рассказывают два человека, знакомые с работой чипов. Это случилось в решающий момент, когда небольшие части операционной системы хранились во внутренней памяти платы по пути к центральному процессору сервера – ЦП. Имплантат был размещен на плате таким образом, чтобы он мог эффективно редактировать эту информационную очередь, вставляя свой собственный код или изменяя порядок инструкций, которые должен был выполнять процессор. Изощренный способ, когда небольшие изменения могут привести к катастрофическим последствиям.

Поскольку имплантаты были небольшими, объём кода, который они содержали, был небольшим. Но они были способны сделать две очень важные вещи: указать устройству начать обмен информацией с одним из нескольких анонимных компьютеров где-либо в Интернете, которые были загружены более сложным кодом; и подготовить операционную систему устройства для принятия этого нового кода. Незаконные чипы могли все это сделать, потому что они были подключены к контроллеру управления основной платой, своего рода суперчипу, который администраторы используют для удаленного входа на проблемные серверы, который дает им доступ к самому секретному коду даже на поврежденных выключенных компьютерах.

Эта система могла позволить злоумышленникам построчно изменить способ работы устройства, как им было нужно, не оставляя следов. Чтобы понять их силу, рассмотрим следующий гипотетический пример: где-то в операционной системе Linux, которая работает на многих серверах, есть код, который путем проверки введенного пароля дает пользователю доступ к сохраненному зашифрованному паролю. Имплантированный чип может изменить часть этого кода, чтобы сервер не проверял пароль, и раз-два и готово! Безопасная машина открыта для всех пользователей. Чип также может украсть ключи шифрования для безопасной связи, блокировать обновления системы безопасности, которые нейтрализуют атаку, и открывать новые пути к Интернету. Если будет замечена какая-то аномалия, она, скорее всего, будет обозначена как необъяснимая странность. «Аппаратное обеспечение открывает любую дверь, которую захочет», говорит Джо Фицпатрик, основатель Hardware Security Resources LLC, компании, которая обучает профессионалов в области кибер-безопасности технике аппаратного взлома.

Американские чиновники ловили Китай за экспериментами с аппаратным вмешательством и раньше, но они никогда не видели взломов таких масштабов и смелости. Безопасность глобальной цепи поставок технологий была скомпрометирована, даже если потребители и большинство компаний об еще не знали. Следователям оставалось узнать, каким образом злоумышленники смогли так далеко проникнуть в производственный процесс Supermicro, и сколько входов к американским целям они открыли.

В отличие от программных взломов, при аппаратной манипуляции создается реальный маршрут. Компоненты оставляют след из деклараций о доставке и счетов-фактур. У плат есть серийные номера, которые ведут к определенным фабрикам. Чтобы отследить источник вредоносных чипов, разведывательные агентства США начали обращать внимание на извивистую цепочку поставок Supermicro в обратном направлении, рассказал человек, знакомый с фактами, собранными во время расследования.

Еще в 2016 году, согласно DigiTimes, новостному сайту, специализирующемуся на исследованиях цепочек поставок, у Supermicro было три основных производителя, собирающих её материнские платы, штаб-квартиры двоих из них были в Тайване, а у третьего в Шанхае. Когда такие поставщики забиты большими заказами, они иногда привлекают субподрядчиков. Чтобы проследить маршрут далее, шпионские агентства США использовали огромные инструменты, имеющиеся в их распоряжении. По словам человека, знакомого с фактами, собранными во время расследования, они просматривали перехваченные сообщения, прослушивали осведомителей в Тайване и в Китае, даже отслеживали ключевых лиц по их телефонам. В конце концов, говорит этот человек, они проследили вредоносные чипы на четырех субподрядных фабриках, где собирают материнские платы Supermicro не менее двух лет.

Пока агенты отслеживали взаимодействия между китайскими официальными лицами, производителями материнских плат и посредниками, они увидели, как работает процесс сидинга. В некоторых случаях к управляющим завода обращались люди, которые утверждали, что представляют Supermicro или занимают должности, предполагающие связь с правительством. Посредники запрашивали внесение изменений в оригинальную конструкцию материнских плат, вначале, предлагая взятки в связи с необычными просьбами. Если это не срабатывало, они угрожали руководителям фабрики проверками, которые могли бы закрыть их заводы. Как только договоренности были достигнуты, посредники организовывали доставку чипов на фабрики.

Следователи пришли к выводу, что такая сложная схема – работа подразделения Народно-освободительной армии, специализирующегося на аппаратных атаках, о чем свидетельствует два человека, знакомые с его деятельностью. Существование этой группы до сих пор не было раскрыто, но один чиновник говорит: «Мы отслеживали этих ребят дольше, чем хотели бы это признать». Предполагается, что подразделение сосредоточено на высокоприоритетных целях, в том числе на передовых коммерческих технологиях и компьютерах соперничающих войск. В прошлых атаках целями подразделения были конструкция высокопроизводительных компьютерных чипов и вычислительных систем крупных интернет-провайдеров США.

По следам отчета Businessweek, Министерство иностранных дел Китая разослало заявление, в котором говорится, что «Китай является решительным защитником кибербезопасности». Министерство добавило, что в 2011 году Китай предложил международные гарантии безопасности аппаратного обеспечения наряду с другими членами Шанхайской организации сотрудничества, регионального органа безопасности. Итогом заявления было следующее: «Мы надеемся, что стороны будут принимать менее безвозмездные обвинения и подозрения, и будут вести более конструктивные разговоры и сотрудничать, чтобы мы могли вместе работать над созданием мирного, безопасного, открытого, скоординированного и упорядоченного киберпространства».

Атака Supermicro в другом порядке полностью напоминала более ранние эпизоды, приписываемые PLA. Угроза состояла в доступе к невероятно огромному числу конечных пользователей, среди которых были и крайне важные. Со своей стороны, Apple со временем использовала аппаратное обеспечение Supermicro в своих центрах обработки данных, но их отношения усилились после 2013 года, когда Apple приобрела стартап под названием Topsy Labs, который создал сверхбыструю технологию индексирования и поиска огромных ресурсов интернет-контента. К 2014 году стартап был запущен для создания небольших центров обработки данных в крупных городах мира или вблизи. По словам трех высокопоставленных инсайдеров Apple, этот проект, известный как Ledbelly, был разработан для того, чтобы голосовой помощник Apple, Сири, быстрее выполнял функции поиска.

Документы, увиденные Businessweek, показывают, что в 2014 году Apple планировала заказать более 6 000 серверов Supermicro для установки в 17 местах, включая Амстердам, Чикаго, Гонконг, Лос-Анджелес, Нью-Йорк, Сан-Хосе, Сингапур и Токио, плюс 4 000 серверов для уже существующих центров в Северной Каролине и Орегоне. Эти заказы должны были удвоиться до 20 000 к 2015 году. Ledbelly делала Apple важным покупателем Supermicro именно тогда, когда было обнаружено, что PLA осуществляет манипуляции с оборудованием поставщика.

Задержки с реализацией проекта и ранние проблемы с его производительностью означали, что к моменту, когда команда безопасности компании обнаружила вставленные чипы, около 7 000 серверов Supermicro в сети Apple фонили. Поскольку Apple, по словам американского чиновника, не предоставила правительственным следователям доступ к своим объектам или взломанным аппаратным средствам, степень атаки там оставалась за пределами их видимости.

Американские следователи в конечном счете выяснили, на кого еще пришелся удар. Поскольку имплантированные чипы предназначались для прозвона анонимных компьютеров в Интернете для дальнейших инструкций, оперативники смогли взломать эти компьютеры, чтобы идентифицировать других пострадавших. Хотя следователи не могли быть уверены в том, что нашли каждую жертву, человек, знающий, как работает американская проверка, говорит, что в итоге они пришли к выводу, что их число составляет почти 30 компаний.

Это поставило вопрос о том, кого нужно уведомить и как. Американские чиновники в течение многих лет предупреждали, что аппаратные средства, сделанные двумя китайскими гигантами телекоммуникаций, Huawei Corp. и ZTE Corp., подвергались манипуляциям со стороны правительства Китая. (Как Huawei, так и ZTE заявляли, что такого вмешательства никогда не было.) Но о подобном общественном оповещении относительно американской компании не могло быть и речи. Вместо этого чиновники обратились к небольшому числу важных клиентов Supermicro. Один из руководителей большой веб-хостинга рассказывает, что резюме обращения сообщение, по результатам разговоров, было достаточно ясным: аппаратное обеспечение Supermicro не вызывает доверия. «Это был толчок для всех – вытащить это дерьмо», говорит этот человек.

Amazon, со своей стороны, начала переговоры о приобретении с конкурентом Elemental, но, по словам человека, в курсе обсуждений в Amazon, летом 2009 года компания изменила свой курс, узнав, что правление Elemental приближается к сделке с другим покупателем. Amazon объявила о приобретении Elemental в сентябре 2015 года в сделке, стоимость которой по словам человека, знающего детали сделки, составляет 350 миллионов долларов. Несколько источников сообщают, что Amazon намеревалась переместить программное обеспечение Elemental в облако AWS, чьи чипы, материнские платы и серверы, как правило, разрабатываются собственными силами и строятся на фабриках, являющихся прямыми подрядчиками Amazon.

Примечательным исключением были центры обработки данных AWS в Китае, которые были заполнены серверами, собранными на Supermicro, по словам двух человек, обладающих знаниями о работе AWS. Помня о выводах касательно Elemental, группа безопасности Amazon провела собственное расследование в сфере обслуживания в Пекине AWS и обнаружила там измененные материнские платы, в том числе более сложные модели, чем раньше. По словам человека, который видел фотографии чипов, в одном случае вредоносные чипы были достаточно тонкими, чтобы быть встроенными между слоями стекловолокна, на которые крепились другие компоненты. Это поколение чипов было меньше заточенного кончика карандаша, говорит этот человек. (Amazon отрицает, что AWS было известно о найденных в Китае серверах, содержащих вредоносные чипы).

Известно, что Китай уже давно контролирует банки, производителей и обычных граждан на своей собственной территории, а основными клиентами облачного сервиса AWS в Китае являются отечественные компании или иностранные компании, занимающиеся там операциями. Тем не менее, тот факт, что эта страна, по-видимому, проводила такие операции внутри облака Amazon, стал для компании гордиевым узлом. Согласно человеку, ознакомленного с проверкой в компании, её команда по вопросам безопасности решила, что было бы трудно просто снять оборудование и что, даже если бы они могли разработать способ, это бы предупредило злоумышленников об обнаружении чипов. Вместо этого команда разработала метод мониторинга чипов. В последующие месяцы они обнаружили короткие сообщения о входе в систему между злоумышленниками и саботированными серверами, но не видели попыток удалить данные. Вероятно, это означало либо то, что злоумышленники сохраняли чипы для последующей операции, либо чтобы они проникли в другие части сети до начала мониторинга. Ни один из вариантов не обнадеживал.

Когда в 2016 году китайское правительство собиралось принять новый закон о кибербезопасности, который многие за пределами страны рассматривали, как предлог получения властями более широкого доступа к конфиденциальным данным – Amazon решила действовать, рассказывает человек, знакомый с проверкой в компании. В августе она передала оперативный контроль над своим Пекинским центром обработки данных своему местному партнеру Beijing Sinnet, что, по мнению компаний, был необходим для соблюдения принятого закона. В последующем ноябре Amazon продала всю инфраструктуру Beijing Sinnet за 300 миллионов долларов. Человек, знакомый с проверкой в Amazon считает эту продажу как попытку «отрезать больную конечность».

Что касается Apple, один из трех высокопоставленных инсайдеров рассказывает, что летом 2015 года, спустя несколько недель после того идентификации вредоносных чипов, компания начала удалять все серверы Supermicro из своих центров обработки данных, процесс, который Apple называла внутри компании «стремление к нулю». Каждый сервер Supermicro, все 7 000 или около того, был заменен в течение нескольких недель, рассказывает высокопоставленный инсайдер. (Apple отрицает удаление каких-либо серверов.) В 2016 году Apple сообщила Supermicro о полном разрыве их отношений – решение, которое представитель Apple в ответ на вопросы Businessweek, отнес на счет не имеющего отношения к делу и относительно незначительного инцидента в сфере безопасности.

В августе генеральный директор Supermicro Лян объявил потерю компанией двух основных клиентов. Хотя он и не назвал их, одну из них позже идентифицировали в новостях как Apple. Он сослался на происки конкурентов, но его объяснение было расплывчатым. «Когда клиенты запрашивали более низкую цену, наши люди не реагировали достаточно быстро», сказал он на телефонной конференции с аналитиками. Хейс, представитель Supermicro, говорит, что клиенты или правоохранительные органы США никогда не сообщали компании о существовании вредоносных чипов на её материнских платах.

Одновременно с открытием незаконных чипов в 2015 году и разворачивающимся расследованием, Supermicro столкнулась с проблемами с бухгалтерской отчетностью, которую компания характеризует как проблему, связанную со сроками учета определенных доходов. Пропустив два крайних срока для подачи квартальных и годовых отчетов, требуемых регуляторами, 23 августа этого года Supermicro была исключена из Nasdaq. Это было довольно неожиданно для компании, чей годовой доход резко вырос за предыдущие четыре года: с 1,5 млрд долларов в 2014 году до прогнозируемых 3,2 млрд долларов в этом году.

Однажды в пятницу в конце сентября 2015 года президент Барак Обама и президент Китая Си Цзиньпин собрались вместе в Белом доме на короткую пресс-конференцию, озаглавленную знаковой сделкой по кибербезопасности. После нескольких месяцев переговоров США выбили из Китая грандиозное обещание: он больше не будет поддерживать кражу хакерами интеллектуальной собственности США в интересах китайских компаний. Отдельно от этих заявлениях, по словам человека, знакомого с обсуждениями между высокопоставленными должностными лицами в правительстве США, была глубокая озабоченность Белого дома тем, что Китай был готов пойти на такую уступку, поскольку он уже разрабатывал гораздо более продвинутые и тайные формы взлома, основанные на его почти монополию в технологической цепочке поставок.

Через несколько недель после объявления о соглашении, правительство США начало неспешно сигнализировать нескольким десяткам технических руководителей и инвесторов на небольшой, приглашенной встрече в Маклине, штат Вирджиния, организованной Пентагоном. По словам присутствующего, сотрудники Министерства обороны проинформировали технологов о недавней атаке и попросили их подумать о создании коммерческих продуктов, которые могли бы обнаружить аппаратные имплантаты. Участникам не было указано имя производителя оборудования, но было ясно, что, по крайней мере, некоторым в комнате, что речь шла о Supermicro, рассказывает этот человек.

Рассматриваемая проблема была не только технологической. Она затрагивала решения, принятые десятилетия назад о переводе передовых производственных работ в Юго-Восточную Азию. В прошедшие годы низкозатратное китайское производство стало основой бизнес-моделей многих крупнейших технологических компаний Америки. По началу Apple, например, делала многие из своих самых современных электронных устройств внутри страны. Затем в 1992 году компания закрыл современный завод по сборке материнских плат и компьютеров в Фремонте, штат Калифорния, и перевела большую часть этих работ за границу.

На протяжении десятилетий безопасность цепочки поставок не вызывала сомнений, несмотря на неоднократные предупреждения западных чиновников. Было убеждение в том, что Китай вряд ли поставит под угрозу свою позицию как мастерскую всего мира, позволяя своим шпионам вмешиваться в свои фабрики. Это обусловило принятие решения о том, где строить коммерческие системы, опираясь в основном на то, где были самые большие и самые дешевые мощности. «В конечном итоге вы получаете классическую сделку с дьяволом», говорит бывший американский чиновник. «Ваше предложения может быть меньше, чем хотелось бы, но оно гарантированно безопасно, или же вы можете получить сколько, вам нужно, но с риском. Каждая организация приняла второе предложение».

За три года, прошедшие после брифинга в McLean, коммерчески жизнеспособный путь обнаружения таких атак, как атака на материнские платы Supermicro, так и не появился и скорее всего так и не появиться. Лишь у немногих компаний есть ресурсы Apple и Amazon, и даже им просто повезло обнаружить проблему. «Эта штука – это новейшая технология, внедренная в новейшую технологию, и здесь нет простого технологического решения», говорит один из присутствующих в McLean. «Вы должны инвестировать в вещи, нужные миру. Вы не можете инвестировать в то, что мир еще не готов принять».

Клиентом Supermicro является Bloomberg LP. По словам представителя Bloomberg LP, компания не нашла доказательств влияния аппаратных проблем, освещенных в этой статье.