История: как китайские «чипы-шпионы» в продукции Apple и Amazon чуть не пошатнули репутацию компаний

Компании Apple и Amazon и предполагаемые «шпионы» Supermicro, с которой они сотрудничают, а также китайские власти, сделали официальные заявления по поводу расследования агентства Bloomberg о том, что устройства компаний содержат запрограммированные китайской разведкой компьютерные чипы. Компании утверждают, что их устройства и серверы не содержат вредоносного оборудования. Давайте разбираться в ситуации.

Предыстория

Изначально Bloomberg, ссылаясь на 17 источников в разведке и компаниях, писало, что спецслужбы Китая встроили чипы в оборудование американской компании Supermicro, с которой сотрудничают Apple и Amazon. Эта компания производит материнские платы, источники питания и другое оборудование, которое используют примерно 30 корпораций, в том числе крупный банк, и многие государственные ведомства США. Агентство написало, что чипы встраивались подразделением Народно-освободительной армии Китая, которое внедрилось в цепь поставок Supermicro. Всё это делалось с целью получить доступ к коммерческой тайне и правительственным компьютерным сетям.

В итоге оказалось, что якобы в 2015 году американские структуры обнаружили вредоносные устройства в технике Apple и Amazon. Сотрудники обеих компаний якобы нашли встроенные в материнские платы и вредоносные микрочипы от Supermicro, но всё оказалось совершенно не так. Все три компании, а также Министерство иностранных дел Китая, — сделали официальные заявления. Apple отличилась негативным комментарием в сторону Bloomberg, так как распространяемая информация по факту чуть не пошатнула доверие пользователей к компании. А вот Supermicro и вовсе отметило, что не в курсе расследований по факту сотрудничества с китайскими властями:

Нам не известно о каких-либо расследованиях по этой теме, и с нами не связывались какие-либо правительственные учреждения. ... Каждая крупная корпорация в сегодняшней сфере безопасности постоянно реагирует на угрозы и развивает свою позицию в области безопасности. ... Кроме того, Supermicro не разрабатывает и не производит сетевые чипы или связанные с ними прошивки, и мы, а также другие ведущие серверные/хранилищные компании, закупаем их у одних и тех же ведущих сетевых компаний.

В свою очередь правительство Китая отметило, что страна является решительным защитником кибербезопасности и «выступает за то, чтобы международное сообщество работало вместе над решением проблем кибербезопасности посредством диалога на основе взаимного уважения, равенства и взаимной выгоды».

Apple

Мы хотим, чтобы пользователи знали, что мы делаем всё возможное, чтобы защитить личную информацию, которую они доверяют нам. Мы также хотим, чтобы они знали, что то, что Bloomberg пишет об Apple, является неточным. Мы знаем, что безопасность — это бесконечная гонка, поэтому мы постоянно укрепляем наши системы против всё более изощрённых хакеров и киберпреступников, которые хотят украсть наши данные — компания Apple.

В Apple утверждают, что никогда не находили вредоносные чипы или уязвимости, намеренно размещённые на серверах компании. Так, по заверениям Apple, ассистент Siri и Topsy (поисковая система, специализирующаяся на поиске по социальным медиа, — прим. КД) никогда не имели общих серверов. Купертиновцы подчеркнули, что прежде чем их серверы будут запущены в производство, они будут проверены на предмет уязвимостей безопасности. В компании уверяют, что никогда не обнаруживали каких-либо необычных уязвимостей на серверах, которые приобрели у Super Micro:

В течение прошлого года Bloomberg неоднократно обращалось к нам с претензиями, иногда расплывчатыми и иногда сложными, о предполагаемом инциденте с безопасностью в Apple. Каждый раз мы проводили строгие внутренние расследования, основываясь на их запросах, и каждый раз, когда мы не находили абсолютно никаких доказательств в поддержку какого-либо из них. Мы неоднократно и последовательно предлагали фактические ответы на статьи, опровергая практически все аспекты истории Bloomberg, касающиеся Apple.

Apple никогда не находила вредоносных чипов, «аппаратных манипуляций» или уязвимостей, специально установленных на любом сервере. Apple никогда не имела контактов с ФБР или каким-либо другим агентством по поводу такого инцидента. Нам не известно о каком-либо расследовании ФБР, и наших контактов в правоохранительных органах.

В Apple также отметили, что журналисты Bloomberg путают историю со старым инцидентом 2016 года, когда был обнаружен заражённый драйвер на одном сервере Super Micro в одной из «яблочных» лабораторий. Более того, тогда это событие было определено как случайное, а не целенаправленное нападение на Apple.

Amazon

Amazon также ответила, что не обнаруживала следов, доказывавших наличие вредоносных чипов или модификаций оборудования. В компании уверили, что Amazon Web Services (инфраструктура платформ облачных веб-сервисов, — прим. КД) никогда не знал о компрометации цепочки поставок, проблеме с вредоносными чипами или аппаратными модификациях при приобретении Elemental. Более того, у них не было никакой достоверной информации о серверах, содержащих вредоносные чипы или модификации в центрах обработки данных в Китае:

Мы пересмотрели наши записи, связанные с приобретением Elemental, по любым вопросам, связанным с SuperMicro, включая повторное рассмотрение независимого аудита безопасности, который мы провели в 2015 году, в рамках нашей due diligence до приобретения. Мы не нашли доказательств в поддержку заявлений о вредоносных чипах или модификациях оборудования.

Аудит предварительной покупки описал четыре проблемы с веб-приложением (а не аппаратными средствами или чипами), которые SuperMicro обеспечивает для управления своими материнскими платами. Все эти выводы были полностью решены, прежде чем мы приобрели Elemental. ... Две «критические» проблемы, которые обнаружил аудитор, были фактически зафиксированы задолго до того, как мы приобрели Elemental.

Оставшиеся две некритические проблемы с веб-приложением были определены как полностью смягченные аудиторами, если клиенты использовали устройства по назначению, не подвергая их публичному интернету.

Представители Amazon уверили, что AWS никогда не работал с ФБР для расследования или предоставления данных о вредоносном оборудовании. В компании подчеркнули, что в июне 2018 года исследователи публиковали сообщения об уязвимостях в прошивке SuperMicro, — после этого Amazon незамедлительно уведомила пострадавших клиентов и порекомендовала обновить прошивку в своих устройствах.