Bloomberg ha pubblicato un articolo su un attacco di spie cinesi che ha raggiunto quasi 30 compagnie statunitensi, tra cui Amazon e Apple, compromettendo la catena di approvvigionamento della tecnologia americana, secondo ampie interviste a fonti governative e aziendali. Guardiamo da vicino l'accaduto attraverso il suo report.
Nel 2015 Amazon ha iniziato con molta calma a valutare la possibile acquisizione di una startup chiamata Elemental Technologies. L'idea era di portare a termine l'acquisizione per compiere un'importante espansione del proprio servizio di streaming video, Amazon Prime Video. La società era di Portland, in Oregon, e aveva realizzato un software per la compressione di file video di grandi dimensioni e la formattazione della riproduzione per diversi dispositivi. La sua tecnologia aveva aiutato a far circolare online i giochi olimpici, comunicare con la Stazione Spaziale Internazionale, e a indirizzare filmati di droni alla Central Intelligence Agency. I contratti di sicurezza nazionale di Elemental non costituivano la ragione principale dell'acquisizione proposta, ma si adattavano bene alle attività governative di Amazon, come il cloud altamente sicuro che Amazon Web Services (AWS) stava creando per la CIA.
Alla luce di questo AWS, che stava supervisionando la potenziale acquisizione, ha assunto una società terza per esaminare attentamente la sicurezza di Elemental. Questa sembra essere una procedura standard in questo tipo di operazioni.Questo primo passaggio di sicurezza ha rilevato problemi preoccupanti, spingendo, così, AWS a fare analisi più approfondite al prodotto principale di Elemental: i costosi server che i vari clienti di Elemental avevano installato nelle loro reti per gestire la compressione video. Questi server sono stati assemblati per Elemental da Super Micro Computer Inc., una società con sede a San Jose (normalmente conosciuta come Supermicro) che è anche uno dei maggiori fornitori al mondo di schede madri per server, di cluster di chip e dei condensatori montati su fibra di vetro che fungono da neuroni dei grandi e piccoli data center. Secondo alcune fonti, verso la fine della primavera del 2015, lo staff di Elemental ha installato diversi server e li ha inviati in Ontario, in Canada, per farli testare da società di sicurezza di terze parti.
Nidificato sulle schede madri dei server, i tester che lavoravano per AWS hanno trovato un minuscolo microchip, non molto più grande di un chicco di riso, che non faceva parte del design originale delle schede. Amazon ha riferito la scoperta alle autorità statunitensi, provocando un profondo brivido nella comunità dei servizi segreti. I server di Elemental si trovavano nei data center del Dipartimento della Difesa, nelle operazioni di droni della CIA e nelle reti di bordo delle navi da guerra della Marina. E Elemental era solo una delle centinaia di clienti di Supermicro.
Durante la successiva indagine, naturalmente top secret, che è ancora in corso dopo più di tre anni, gli investigatori hanno stabilito che i chip permettevano agli hacker di creare una porta stealth in qualsiasi rete al cui interno ci fossero macchine modificate. Molte persone che hanno familiarità con la questione dicono che gli investigatori hanno scoperto che i chip erano stati inseriti negli stabilimenti gestiti da subappaltatori in Cina.
Questo attacco è stato qualcosa di più grave degli incidenti basati sul software, i vari hacking ch eogni tanto raggiungono i media, che il mondo dell'IT si è ormai abituato a vedere. Gli hack hardware sono più difficili da realizzare e potenzialmente più devastanti, consentendo accessi invisibili e a lungo termine. Questo è il motivo per cui le agenzie di spionaggio sono disposti a investire milioni di dollari e molti anni per ottenerli.
Ci sono due modi in cui le spie possono alterare le apparecchiature informatiche. Uno, noto come interdizione, consiste nel manipolare i dispositivi mentre sono in transito dal produttore al cliente. Questo approccio è quello preferito dalle agenzie di spionaggio statunitensi, secondo i documenti trapelati dall'ex contractor della sicurezza nazionale Edward Snowden. L'altro metodo implica una semina delle modifiche fin dall'inizio dell'esistenza del device.
Un paese in particolare ha un vantaggio strategico sugli altri per eseguire questo tipo di attacco: la Cina, che secondo alcune stime produce il 75% dei telefoni cellulari del mondo e il 90% dei PC. Tuttavia, realizzare effettivamente un attacco di semina significherebbe sviluppare una profonda comprensione del design di un prodotto, manipolare i componenti in fabbrica e assicurare che i dispositivi diagnosticati passino attraverso tutta la catena logistica globale fino alla posizione desiderata - un'impresa simile a lanciare un bastone nel fiume Yangtze a monte di Shanghai e assicurarsi che tocchi la riva a Seattle. "Avere un sistema in hardware di livello nazionale ben fatto sarebbe come assistere a un unicorno che salta sopra un arcobaleno", afferma Joe Grand, un hacker hardware fondatore di Grand Idea Studio Inc. "L'hardware è così lontano dal radar delal sicurezza, è quasi trattato come una magia nera".
Ma questo è proprio quello che hanno scoperto gli investigatori statunitensi: i chip erano stati inseriti durante il processo di produzione, dicono due funzionari, da agenti di una unità dell'Esercito popolare di liberazione. In Supermicro, le spie cinesi sembrano aver trovato un canale perfetto per quello che i funzionari statunitensi ora descrivono come l'attacco alla suply chain più significativo che sia mai stato condotto contro compagnie americane.
Un funzionario ha detto a Bloomberg che gli investigatori hanno scoperto che questa manomissione hardware alla fine ha colpito quasi 30 aziende, tra cui una grande banca, appaltatori governativi e la società più preziosa del mondo, Apple. Apple era un importante cliente di Supermicro e aveva pianificato di ordinare più di 30.000 dei suoi server in due anni per una nuova rete globale di data center. Tre esperti interni di Apple affermano che nell'estate del 2015, anch'essa ha trovato chip dannosi su schede madri Supermicro. Apple ha interrotto i legami con Supermicro l'anno successivo, per quello che ha descritto come motivi non correlati e ad oggi continua a negare ogni falla nei suoi datacenter.
In dichiarazioni inviate via email a Bloomberg, Amazon (che ha annunciato l'acquisizione di Elemental a settembre 2015 ), Apple e Supermicro hanno contestato i dati che Business Week di Bloomberg ha raccolto. "Non è vero che AWS fosse a conoscenza di una falla della catena di approvvigionamento, di problemi con chip malevoli o di modifiche all'hardware mentre procedeva all'acquisizione di Elemental", ha scritto Amazon. "Su questo possiamo essere molto chiari: Apple non ha mai trovato chip malevoli," manipolazioni hardware "o vulnerabilità appositamente posizionate in alcun server", ha scritto Apple. "Restiamo inconsapevoli di tali indagini", ha scritto un portavoce di Supermicro, Perry Hayes. Il governo cinese non ha rivolto direttamente domande sulla manipolazione dei server Supermicro, emettendo una dichiarazione che in parte recitava: "La sicurezza della supply chain nel cyberspazio è una questione di interesse comune e anche la Cina è una vittima". L'FBI e l'Ufficio del direttore della National Intelligence, che rappresenta la CIA e la NSA, ha rifiutato di rilasciare qualsivoglia commento.
I dinieghi delle compagnie sono sconfessati, secondo Bloomberg, da sei, tra attuali ed ex, alti funzionari della sicurezza nazionale, che - nelle conversazioni iniziate durante l'amministrazione Obama e proseguite sotto l'amministrazione Trump - hanno dettagliato la scoperta dei chips e le indagini del governo. Uno di quei funzionari e due persone di AWS hanno fornito a Bloomberg ampie informazioni su come si è svolto l'attacco a Elemental e Amazon; il funzionario e uno degli addetti ai lavori hanno anche descritto la cooperazione di Amazon con le indagini governative. Oltre ai tre addetti ai lavori di Apple, quattro dei sei funzionari statunitensi hanno confermato che Apple era una vittima. In tutto, 17 persone hanno confermato la manipolazione dell'hardware di Supermicro e altri elementi degli attacchi. Le fonti sono tenute da Bloomberg anonime a causa della natura sensibile e, in alcuni casi, classificata delle informazioni.
Un funzionario del governo afferma che l'obiettivo della Cina era l'accesso a lungo termine a segreti aziendali di alto valore e reti governative sensibili. Da quanto si sa nessun dato dei consumatori è stato rubato.
Le conseguenze dell'attacco continuano a pesare. L'amministrazione Trump ha posto hardware per computer e reti, incluse schede madri, al centro del suo ultimo ciclo di sanzioni commerciali contro la Cina, e i funzionari della Casa Bianca hanno chiarito che pensano che le aziende cominceranno a spostare le loro catene di approvvigionamento in altri paesi. Un tale cambiamento potrebbe far calmare i funzionari governativi che da anni avevano messo in guardia sulla sicurezza della catena di approvvigionamento, anche se non avevano mai rivelato una delle principali ragioni per le loro preoccupazioni.
Nel 2006, tre ingegneri dell'Oregon avevano un'idea geniale. La domanda di video mobile stava per esplodere e prevedevano che le emittenti avrebbero avuto la necessità di trasformare i programmi progettati per adattarsi agli schermi TV nei vari formati necessari per la visualizzazione: smartphone, laptop e altri dispositivi. Per soddisfare la domanda prevista, gli ingegneri hanno dato vita a Elemental Technologies, assemblando quello che un ex consulente della società chiama un team di genius per scrivere codice che si possa adattare ai chip per la grafica superveloce che vengono prodotti per le macchine di videogiochi di fascia alta. Il software risultante ha drasticamente ridotto il tempo necessario per elaborare file video di grandi dimensioni. Elemental ha quindi caricato il software su server personalizzati, marchiti con uno specifico loghi a forma di leprecano verde.
I server di Elemental sono venduti fino a 100.000 dollari ciascuno, con margini di profitto fino al 70%, secondo un ex consulente dell'azienda. Due dei primi clienti di Elemental sono satti da un lato la chiesa mormone, che usava la tecnologia per trasmettere i sermoni alle congregazioni di tutto il mondo, e dall'altra l'industria del cinema per adulti, per altri evidenti scopi.
Elemental ha anche iniziato a lavorare con agenzie di spionaggio americane. Nel 2009 la società ha annunciato una partnership di sviluppo con In-Q-Tel Inc. , il braccio di investimento della CIA, un accordo che ha spianato la strada ai server Elemental per l'utilizzo nelle missioni di sicurezza nazionale per il governo degli Stati Uniti. I documenti pubblici, compreso il materiale promozionale della società, mostrano come i server siano stati utilizzati all'interno dei data center del Dipartimento della Difesa per elaborare filmati di telecamere e telecamere di sorveglianza, su navi da guerra della Marina per trasmettere feed di missioni aeree e all'interno di edifici governativi per consentire videoconferenze sicure. Anche la NASA, entrambe le Camere del Congresso e il Dipartimento della Sicurezza Nazionale sono stati clienti di Elemntal. Questo portfolio ha reso Elemental un bersaglio ottimale per attacchi stranieri.
Supermicro era stata una scelta ovvia per costruire i server di Elemental. La società, con sede a nord dell'aeroporto di San Jose, su un tratto dell'Interstate 880, è stata fondata da Charles Liang, un ingegnere di Taiwan che ha frequentato la scuola di specializzazione in Texas e poi si è spostato a ovest per avviare Supermicro con sua moglie nel 1993. La Silicon Valley stava abbracciando l'esternalizzazione, mediante la creazione di un percorso che partiva dai produttori taiwanesi, e poi cinesi, per arrivare ai consumatori americani. Liang ha aggiunto un vantaggio confortante a questo percorso: le schede madri di Supermicro sarebbero state progettate principalmente a San Jose, vicino ai maggiori clienti dell'azienda, anche se i prodotti sarebbero poi stati fabbricati all'estero.
Oggi Supermicro vende più schede madri server di quasi chiunque altro. Domina anche il mercato da 1 miliardo di dollari di schede speciali utilizzate nei computer per scopi particolari, dalle macchine per risonanza magnetica ai sistemi d'arma. Le sue schede madri possono essere trovate in configurazioni server su ordinazione presso banche, hedge fund, fornitori di cloud computing e servizi di hosting web, solo per fare qualche esempio. Supermicro ha impianti di assemblaggio in California, nei Paesi Bassi e a Taiwan, ma le sue schede madri, il suo prodotto principale, sono quasi tutte prodotte da imprenditori in Cina.
Il successo dell'azienda dipende dalla personalizzazione senza pari, resa possibile da centinaia di ingegneri assunti a tempo pieno e da un catalogo che comprende più di 600 progetti. La maggior parte della sua forza lavoro a San Jose è taiwanese o cinese, e il mandarino è la lingua preferita, con caratteri hanzi che riempiono le lavagne, secondo sei ex dipendenti dell'azienda. Ogni settimana vengono consegnati pasticcini cinesi e molti annunci di routine vengono effettuate due volte, una volta per i lavoratori solo in inglese e di nuovo in mandarino. Questi legami d'oltremare, in particolare l'uso diffuso del mandarino, avrebbero reso più facile per la Cina acquisire una comprensione delle operazioni di Supermicro e potenzialmente di infiltrarsi nell'azienda. (Bloomberg riporta che un funzionario americano racconta che l'indagine del governo sta ancora esaminando se siano state infiltrate spie all'interno di Supermicro o in altre compagnie americane per aiutare l'attacco).
Con oltre 900 clienti in 100 paesi nel 2015, Supermicro ha fornito i suoi materiali a una vasta gamma di obiettivi sensibili. "Pensa a Supermicro come a Microsoft del mondo dell'hardware", dice un ex funzionario dell'intelligence statunitense che ha studiato Supermicro e il suo modello di business. "Attaccare le schede madri di Supermicro è come attaccare Windows. È attaccare il mondo intero".
Ben prima che le prove dell'attacco emergessero all'interno delle reti di alcune società statunitensi, fonti di intelligence americane riferivano che le spie della Cina avevano in programma di introdurre microchip dannosi nella catena di approvvigionamento. Le fonti non erano specifiche, secondo una persona che conosceva le informazioni fornite e nel frattempo milioni di schede madri venivano spedite negli Stati Uniti ogni anno. Ma nella prima metà del 2014, una persona informata su discussioni di alto livello dice che i funzionari dell'intelligence sono andati alla Casa Bianca con qualcosa di più concreto: l'esercito cinese si stava preparando a inserire i chip nelle schede madri Supermicro destinate alle compagnie statunitensi.
La specificità delle informazioni era notevole, ma lo erano anche le sfide che poneva. Rilasciare un ampio avvertimento ai clienti di Supermicro avrebbe potuto paralizzare la società, un importante produttore di hardware americano, e non era chiaro nel rapporto dell'intelligence a cosa stava mirando l'operazione o quali fossero i suoi obiettivi finali. Inoltre, senza la conferma che qualcuno fosse stato attaccato, l'FBI era limitata nel modo in cui poteva rispondere. La Casa Bianca ha richiesto aggiornamenti periodici a mano a mano che le informazioni arrivavano, dice la fonte di Bloomberg.
Secondo quanto racconta Bloomberg, Apple ha scoperto chip sospetti all'interno dei server Supermicro intorno a maggio 2015, dopo aver rilevato problemi di attività e firmware della rete. Due dei maggiori esperti di Apple affermano che l'azienda ha riferito dell'incidente all'FBI, ma ha mantenuto strettamente riservati i dettagli su ciò che aveva rilevato, anche internamente. Gli investigatori del governo stavano ancora inseguendo gli indizi da soli quando Amazon ha fatto la sua scoperta e gli ha dato accesso all'hardware sabotato, secondo un funzionario americano. Ciò ha creato un'opportunità inestimabile per le agenzie di intelligence e l'FBI - svolgendo poi un'indagine completa condotta dai suoi team cyber e controspionaggio - per vedere come erano i chip e come funzionavano.
Bloomberg racconta come i chip su server Elemental siano stati progettati per essere il meno visibili possibile, così come sarebbe confermato da una fonte che avrebbe visto foto digitali e immagini a raggi X dei chip in un report successivo preparato dal team di sicurezza di Amazon. Di colore grigio o bianco sporco, sembravano più come accoppiatori di condizionamento del segnale, un altro componente della scheda madre comune, che microchip, e quindi era improbabile che fossero rilevabili senza attrezzature specializzate. A seconda del modello di scheda, i chip variavano leggermente di dimensioni, suggerendo che gli aggressori avevano fornito diverse fabbriche con lotti diversi.
Funzionari che hanno familiarità con le indagini dicono che il ruolo principale degli impianti come questi è quello di aprire porte che altri attacchi possono attraversare. "Gli attacchi hardware riguardano l'accesso", come afferma un ex alto funzionario. In termini semplificati, gli impianti su hardware Supermicro hanno manipolato le istruzioni operative principali che dicono al server cosa fare mentre i dati si muovono su una scheda madre, dicono due persone che hanno familiarità con l'operazione dei chip. Ciò è accaduto in un momento cruciale, poiché piccoli bit del sistema operativo venivano memorizzati nella memoria temporanea della scheda in rotta verso il processore centrale del server, la CPU. L'impianto è stato posizionato sulla scheda in modo tale da consentire di modificare efficacemente questa coda di informazioni, iniettando il proprio codice o modificando l'ordine delle istruzioni che la CPU avrebbe dovuto seguire.
Poiché gli impianti erano piccoli, anche la quantità di codice contenuta era piccola. Ma erano in grado di fare due cose molto importanti: dire al dispositivo di comunicare con uno dei vari computer anonimi altrove su Internet che erano programmati con un codice più complesso; e preparare il sistema operativo del dispositivo per accettare questo nuovo codice. I chip illeciti potevano fare tutto questo perché erano collegati al baseboard managment controller, una specie di superchip che gli amministratori usano per accedere da remoto a server problematici, dando loro accesso al codice più sensibile anche su macchine che si sono bloccate o sono state disattivate.
Questo sistema potrebbe consentire agli aggressori di alterare il modo con cui il dispositivo funziona, linea di codice per linea di codice, come volevano, senza lasciare nessuna prova. Per comprendere il potere che da questo hack, si guardi a questo esempio ipotetico: da qualche parte nel sistema operativo Linux, che viene eseguito in molti server, c'è il codice che autorizza un utente verificando una password digitata rispetto a una crittografata memorizzata. Un chip impiantato può modificare parte di quel codice in modo che il server non verifichi la presenza di una password! Un chip può anche rubare chiavi di crittografia per comunicazioni sicure, bloccare gli aggiornamenti di sicurezza che potrebbero neutralizzare l'attacco e aprire nuovi percorsi su Internet. Se si notasse qualche anomalia, sarebbe probabilmente etichettata come una stranezza inspiegabile. "L'hardware apre qualsiasi porta voglia", afferma Joe FitzPatrick.
Funzionari statunitensi avevano sorpreso la Cina a sperimentare la manomissione dell'hardware prima, ma non avevano mai visto nulla di queste dimensioni e di questa ambizione. La sicurezza della catena logistica globale era stata compromessa, anche se i consumatori e la maggior parte delle aziende non lo sapevano ancora. Quello che restava da sapere per gli investigatori era il modo in cui gli aggressori si erano infiltrati così profondamente nel processo di produzione di Supermicro - e quante porte avevano aperto sugli obiettivi americani.
A differenza degli hack basati su software, la manipolazione dell'hardware crea un percorso reale. I componenti lasciano una scia di manifesti e fatture di spedizione. Le schede hanno numeri di serie che si riferiscono a fabbriche specifiche. Per rintracciare i chip malevoli alla loro fonte, le agenzie di intelligence statunitensi hanno iniziato a seguire la serpentina catena di supermercati di Supermicro al contrario, come riportano le fonti di Bloomberg.
Solo nel 2016, secondo DigiTimes, un sito di notizie specializzato nella ricerca sulla supply chain, Supermicro aveva tre produttori primari che costruivano le sue schede madri, due con sede a Taiwan e una a Shanghai. Quando tali fornitori sono soffocati da grandi ordini, a volte distribuiscono lavoro a subappaltatori. Per andare più avanti, le agenzie di spionaggio statunitensi attingevano dagli strumenti prodigiosi a loro disposizione. Hanno setacciato le intercettazioni delle comunicazioni, contattato informatori a Taiwan e in Cina, hanno persino rintracciato gli individui chiave attraverso i loro telefoni, sempre seguendo il report di Bloomberg. Alla fine hanno rintracciato i chip malevoli riconducendoli a quattro fabbriche di subappalto che hanno costruito schede madri Supermicro per almeno due anni.
Mentre gli agenti monitoravano le interazioni tra funzionari cinesi, produttori di schede madri e intermediari, hanno intravisto come funzionava il processo di semina. In alcuni casi, i responsabili degli impianti venivano avvicinati da persone che affermavano di rappresentare Supermicro o che detenevano posizioni che suggerivano una connessione con il governo. Gli intermediari richiederebbero modifiche ai progetti originali delle schede madri, offrendo inizialmente bustarelle in combinazione con le loro richieste insolite. Se ciò non ha funzionato, hanno minacciato i dirigenti delle fabbriche con ispezioni che potevano chiudere i loro impianti. Una volta predisposti gli accordi, gli intermediari organizzerebbero la consegna dei chip alle fabbriche.
Gli investigatori hanno concluso che questo intricato schema era opera di un'unità dell'esercito popolare di liberazione specializzata in attacchi hardware, secondo due persone informate sulle sue attività. L'esistenza di questo gruppo non è mai stata rivelata prima, ma un funzionario dice: "Abbiamo seguito questi ragazzi più a lungo di quanto vorremmo ammettere". Si ritiene che l'unità si concentri su obiettivi ad alta priorità, compresi gli annunci commerciali per tecnologia e computer avanzate fatti delle forze armate rivali. Negli attacchi passati, ha preso di mira i progetti di chip per computer ad alte prestazioni e sistemi informatici di grandi fornitori di servizi Internet negli Stati Uniti.
I dettagli forniti dai rapporti di Businessweek hanno fatto si che il Ministero degli Affari Esteri cinese rilasciasse una dichiarazione in cui si afferma che "la Cina è un risoluto difensore della sicurezza informatica". Il ministero ha aggiunto che nel 2011 la Cina ha proposto garanzie internazionali sulla sicurezza hardware insieme ad altri membri della Organizzazione per la Cooperazione di Shanghai, un organismo di sicurezza regionale. La dichiarazione concludeva: "Speriamo che le parti facciano accuse e sospetti meno gratuiti, ma conduciamo conversazioni più costruttive e collaborazioni in modo che possiamo lavorare insieme per costruire un cyberspazio pacifico, sicuro, aperto, cooperativo e ordinato".
L'attacco Supermicro è di un altro ordine di grandezza rispetto a precedenti episodi attribuiti all'esercito di liberazione cinese. Ha minacciato una vertiginosa serie di utenti finali. Apple, da parte sua, ha utilizzato l'hardware Supermicro nei suoi data center per anni sporadicamente, ma la relazione si è intensificata dopo il 2013, quando Apple ha acquisito una startup chiamata Topsy Labs, che ha creato una tecnologia superveloce per l'indicizzazione e la ricerca di vasti contenuti Internet. Dal 2014, la startup è stata utilizzata per costruire piccoli data center all'interno o vicino a grandi città. Questo progetto, noto internamente come Ledbelly, è stato realizzato per rendere più veloce la funzione di ricerca per l'assistente vocale di Apple, Siri, secondo alcuni esperti di Apple.
I documenti visti da Businessweek mostrano che nel 2014, Apple aveva pianificato di ordinare oltre 6.000 server Supermicro per l'installazione in 17 località, tra cui Amsterdam, Chicago, Hong Kong, Los Angeles, New York, San Jose, Singapore e Tokyo, oltre a 4.000 server per i suoi data center già esistenti nella Carolina del Nord e nell'Oregon. Gli ordini avrebbero dovuto raddoppiare, a 20.000, entro il 2015. Ledbelly ha trasformato Apple in un importante cliente di Supermicro nello stesso momento in cui l'esercito cinese ha incominciato la manipolazione dell'hardware del fornitore.
Ritardi del progetto e problemi di prestazioni iniziali hanno fatto sì che solo circa 7.000 server Supermicro ronzassero nella rete di Apple quando il team di sicurezza dell'azienda ha trovato i chip aggiunti. Secondo le fonti di Bloomberg Apple non ha fornito agli investigatori governativi l'accesso alle sue strutture o l'hardware manomesso, per cui la portata dell'attacco rimane al di fuori della loro visione.
Alla fine, gli investigatori americani hanno scoperto chi era stato colpito. Poiché i chip impiantati erano progettati per eseguire il ping su computer anonimi su Internet per ulteriori istruzioni, gli operatori potevano hackerare quei computer per identificare quelli che erano stati colpiti. Sebbene gli investigatori non potessero essere sicuri di aver trovato ogni vittima, le fonti di Bloomberg affermano che alla fine si è concluso che si tratta di quasi 30 società.
Ciò ha portato alla domanda su chi avvisare e come. I funzionari statunitensi avevano avvertito per anni che l'hardware prodotto da due giganti cinesi delle telecomunicazioni, Huawei Corp. e ZTE Corp., era soggetto alla manipolazione del governo cinese. (Sia Huawei che ZTE hanno detto che non si sono verificate tali manomissioni). Ma un'analoga segnalazione pubblica riguardante un'azienda statunitense era fuori questione. Invece, i funzionari hanno contattato un numero limitato di importanti clienti di Supermicro.
Amazon, da parte sua, ha iniziato i colloqui di acquisizione con un concorrente di Elemental, ma secondo alcune fonti, ha invertito la rotta nell'estate del 2015 dopo aver appreso che il consiglio di Elemental si stava avvicinando ad un accordo con un altro acquirente. Amazon ha annunciato l'acquisizione di Elemental a settembre 2015, in una transazione il cui valore secodno alcune fonti ammonta a 350 milioni di dollari. Diverse fonti affermano che Amazon intendeva spostare il software di Elemental nel cloud di AWS, i cui chip, schede madri e server sono in genere progettati internamente e costruiti da fabbriche che Amazon contatta direttamente.
Un'eccezione degna di nota erano i data center di AWS all'interno della Cina, che erano pieni di server costruiti da Supermicro, secondo altre fonti. Consapevole della situazione di Elemental, il team di sicurezza di Amazon ha condotto le proprie indagini sulle strutture di AWS a Pechino e ha trovato anche schede madri alterate, inclusi progetti più sofisticati di quelli che avevano precedentemente rilevato. In un caso, i chip maligni erano abbastanza sottili da essere stati incorporati tra gli strati di fibra di vetro su cui erano attaccati gli altri componenti, come riporta Bloomberg. Quella generazione di chips era più piccola di una punta appuntita, dice la persona. (Amazon da parte sua nega che AWS fosse a conoscenza di server trovati in Cina contenenti chip dannosi).
La Cina è stata a lungo nota per monitorare banche, produttori e cittadini sul proprio territorio, e i principali clienti del cloud cinese di AWS erano aziende nazionali o entità straniere che operavano lì. Tuttavia, il fatto che il paese sembrava condurre queste operazioni all'interno del cloud di Amazon ha presentato alla compagnia un nodo gordiano. Il suo team di sicurezza ha stabilito che sarebbe stato difficile rimuovere silenziosamente l'equipaggiamento e che, anche se fossero in grado di escogitare un modo, così facendo avrebbero avvertito gli attaccanti che i chip erano stati trovati. Invece, il team ha sviluppato un metodo per monitorare i chip. Nei mesi successivi, hanno rilevato brevi comunicazioni di check-in tra gli autori degli attacchi e i server sabotati ma non hanno visto alcun tentativo di rimuovere i dati. Ciò probabilmente significava che gli aggressori stavano salvando i chip per un'operazione successiva o che si erano infiltrati in altre parti della rete prima dell'inizio del monitoraggio. Nessuna delle due possibilità era rassicurante.
Quando nel 2016 il governo cinese stava per approvare una nuova legge sulla sicurezza informatica - vista da molti al di fuori del paese come pretesto per dare alle autorità un accesso più ampio ai dati sensibili - Amazon ha deciso di agire, dice la persona che ha familiarità con la società. Ad agosto ha trasferito il controllo operativo del suo centro dati di Pechino al suo partner locale, Beijing Sinnet , una mossa che le società hanno dichiarato necessarie per conformarsi alla legge in arrivo. Il novembre successivo, Amazon ha venduto l'intera infrastruttura a Beijing Sinnet per circa 300 milioni di dollari. Qualcuno vede la vendita come una scelta per "tagliare l'arto malato".
Per quanto riguarda Apple, uno dei tre esperti interni afferma che nell'estate del 2015, poche settimane dopo aver identificato i chip malevoli, la società ha iniziato a rimuovere tutti i server Supermicro dai suoi data center, un processo che Apple aveva indicato internamente come "andare a zero". Ogni server Supermicro, 7000 circa, è stato sostituito nel giro di poche settimane, secondo le fonti di Bloomberg. (Apple nega che tutti i server siano stati rimossi). Nel 2016, Apple informò Supermicro che stava interrompendo completamente il loro rapporto, una decisione presa da un portavoce di Apple in risposta alle domande di Businessweek per un incidente di sicurezza non correlato e relativamente minore.
Quell'agosto, l'amministratore delegato di Supermicro, Liang, ha rivelato che la società aveva perso due importanti clienti. Anche se non li ha nominati, uno è stato in seguito identificato nei notiziari come Apple. Ha accusato la concorrenza, ma la sua spiegazione era vaga. "Quando i clienti chiedevano un prezzo più basso, la nostra gente non rispondeva abbastanza velocemente", ha detto in una conference call con gli analisti. Hayes, il portavoce di Supermicro, afferma che la compagnia non è mai stata informata dell'esistenza di chip malevoli sulle sue schede madri da parte dei clienti o delle forze dell'ordine statunitensi.
In concomitanza con la scoperta dei chip illeciti nel 2015 e l'investigazione in corso, Supermicro è stata tormentata da un problema contabile, che la società definisce come un problema legato ai tempi di riconoscimento di alcune entrate. Dopo aver saltato due scadenze per presentare i rapporti trimestrali e annuali richiesti dalle autorità di regolamentazione, Supermicro è stato rimosso dal Nasdaq il 23 agosto di quest'anno. Ha segnato uno straordinario inciampo per una società il cui fatturato annuo è aumentato notevolmente nei quattro anni precedenti, da un fatturato di 1,5 miliardi di dollari nel 2014 a un prospetto di 3,2 miliardi di dollari quest'anno.
Un venerdì di fine settembre 2015, il presidente Barack Obama e il presidente cinese Xi Jinping sono apparsi insieme alla Casa Bianca per una conferenza stampa di un'ora con un importante accordo sulla cybersecurity. Dopo mesi di trattative, gli Stati Uniti avevano strappato alla Cina una grande promessa: non avrebbe più supportato il furto da parte degli hacker della proprietà intellettuale degli Stati Uniti a beneficio delle compagnie cinesi. Lasciato fuori da quelle dichiarazioni, secondo Bloomberg, c'era la profonda preoccupazione della Casa Bianca che la Cina fosse disposta a offrire questa concessione perché stava già sviluppando forme di hacking molto più avanzate e surrettizie fondate su il suo quasi monopolio nella catena di fornitura della tecnologia.
Nelle settimane successive all'annuncio dell'accordo, il governo degli Stati Uniti ha tranquillamente alzato l'allarme con diverse decine di dirigenti e investitori tecnologici in un piccolo incontro a inviti a McLean, in Virginia, organizzato dal Pentagono. Secondo alcune fonti che erano presenti, i funzionari del Dipartimento della Difesa hanno informato i tecnologi di un recente attacco e hanno chiesto loro di pensare a creare prodotti commerciali in grado di rilevare impianti hardware. Ai partecipanti non è stato detto il nome del produttore di hardware coinvolto, ma era chiaro ad alcuni nella stanza che era Supermicro, racconta Bloomberg.
Il problema in discussione non era solo tecnologico. Si è parlato di decisioni prese decenni fa per inviare la produzione avanzata nel sud-est asiatico. Negli anni successivi, la produzione cinese a basso costo era arrivata a sostenere i modelli di business di molte delle più grandi aziende tecnologiche americane. Apple, ad esempio, ha realizzato internamente molti dei suoi dispositivi elettronici più sofisticati. Poi, nel 1992, ha chiuso uno stabilimento all'avanguardia per l'assemblaggio di schede madri e computer a Fremont, in California, e ha inviato gran parte di questo lavoro all'estero.
Nel corso dei decenni, la sicurezza della catena di approvvigionamento è diventata un articolo di fede nonostante ripetuti avvertimenti da parte dei funzionari occidentali. Si credeva che la Cina non avrebbe messo a repentaglio la sua posizione di officina per il mondo lasciando che le sue spie si intromettessero nelle sue fabbriche. Ciò ha lasciato la decisione su dove costruire sistemi commerciali in gran parte in base a dove la capacità era maggiore e più economica.
Nei tre anni trascorsi dal briefing in McLean, non è emerso alcun modo commercialmente valido per rilevare attacchi come quello sulle schede madri di Supermicro, o è probabile che emerga. Poche aziende hanno le risorse di Apple e Amazon e ci è voluto un po' di fortuna anche per loro per individuare il problema. "Questo materiale è all'avanguardia e non esiste una soluzione tecnologica semplice", afferma una delle persone presenti in McLean. "Devi investire in cose che il mondo vuole. Non puoi investire in cose che il mondo non è ancora pronto ad accettare ".