Supermicro maakt brandhout van het Bloomberg-artikel dat beweert dat de Chinese overheid is geïnfiltreerd in zijn toeleverketen en servermoederborden met geheime spionagechips heeft uitgerust. De fabrikant noemt het verhaal in een brief aan klanten “technisch niet aannemelijk” en “verkeerd”. Apple en Amazon eisen ondertussen dat de nieuwspublicatie het artikel intrekt.
“We zijn ervan overtuigd dat een recent artikel, dat beweert dat een kwaadaardige hardware-chip geïmplanteerd is tijdens het productieproces van onze moederborden, verkeerd is”, steekt Supermicro van wal in de brief waar ZDNet uit citeert.
Daarmee verwijst de hardwarefabrikant naar een explosief verhaal dat begin deze maand in Bloomberg Businessweek werd gepubliceerd. De publicatie schetste op basis van gesprekken met 17 verschillende bronnen hoe een speciale afdeling van het Chinese leger zich via omkoperij en afpersing zou hebben binnengewerkt in enkele Chinese fabrieken die servermoederborden produceren in opdracht van het Amerikaanse Supermicro.
In die fabrieken zou het moederborden hebben gemodificeerd met een kleine chip, niet groter dan een rijstkorrel en vermomd om er uit te zien als een normaal onderdeel van het moederbord. De chip deed dienst als hardwarematige achterdeur en was zo geplaatst dat hij de controle over de hele server kon overnemen. Zo was het volgens het Bloomberg-verhaal in theorie mogelijk om instructies tot op OS-niveau en zelfs verder aan te passen om naar believen malware te injecteren of data te stelen.
Lees dit: Chinese spionagechips in servers: wat is er aan de hand en hoever reiken de gevolgen?
Supermicro heeft het verslag van Bloomberg al vanaf het begin in alle talen ontkend. In de brief aan klanten laat het weten dat het “een gecompliceerde en tijdrovende beoordeling uitvoert om het artikel verder aan te pakken”.
“We vertrouwen erop dat u de moeilijkheid begrijpt om te bewijzen dat iets niet is gebeurd, ook al hebben de verslaggevers geen getroffen moederbord of een dergelijke schadelijke hardware-chip kunnen voorleggen”, gaat de brief verder.
Niet aannemelijk
In de brief wordt uit de doeken gedaan hoe Supermicro al zijn moederborden in elke fase van het productieproces test en inspecteert. Dat gebeurt door werknemers van Supermicro zelf en niet door aannemers. Het gaat om visuele en functionele inspecties, alsook periodieke x-ray scans en regelmatige audits van leveranciers.
“Onze testprocessen bij elke stap zijn niet alleen bedoeld om de functionaliteit te controleren, maar ook om de integriteit en samenstelling van onze ontwerpen te controleren en om ons op eventuele afwijkingen in het basisontwerp te attenderen”, schrijft de fabrikant.
Volgens Supermicro is het door de complexiteit van zijn moederbordontwerpen bovendien nagenoeg onmogelijk om een niet-geautoriseerde functionele component toe te voegen, zonder dat het tijdens een van de inspecties wordt opgemerkt. Laat staan dat zo’n chip zelfs goed zou functioneren, als hij toch ongemerkt op een moederbord kan worden geïnstalleerd.
“Ons productieproces is ontworpen om onbevoegde fysieke wijzigingen aan onze moederborden door onze leveranciers of door iemand bij Supermicro te voorkomen. (…) Geen enkele partij in het productieproces – behalve Supermicro – heeft volledige informatie over het ontwerp van onze moederborden tijdens de verschillende stappen van het productieproces. Zelfs bij Supermicro is het systeem zo ontworpen dat geen enkele werknemer onbeperkte toegang heeft tot het hele ontwerp.”
Supermicro besluit kort samengevat dat het verhaal van Bloomberg “technisch niet aannemelijk” en “verkeerd” is. De volledige brief kan je hier lezen.
Veel kritiek
Bloomberg blijft ondertussen achter de auteurs van het artikel staan en publiceerde een week later nog een ander verhaal over gemanipuleerde ethernetpoorten. Dat leek op het eerste zicht bedoeld om het originele verhaal meer geloofwaardigheid te geven.
In de dagen nadat het artikel verscheen, kwam immers heel wat kritiek vanuit verschillende hoeken. Security- en serverspecialisten stelden het verhaal openlijk in vraag. De algemene consensus was – en is nog steeds – dat er technisch heel wat rammelt aan het verhaal.
“De kleine chip zou het besturingssysteem op servers kunnen overnemen, maar hoe kan een aanvaller vooraf weten welk OS überhaupt op de server zal worden geïnstalleerd? Hoe gaat hij om met de specifieke uitdagingen van tientallen verschillende Linux-distributies?”, stelde Christof Jacques, Senior Security Engineer bij beveiligingsbedrijf Check Point, zich luidop de vraag in een interview met Techzine.
Ook het Amerikaanse Department of Homeland Security en de Britse inlichtingendienst GCHQ zeggen dat ze geen bewijs hebben aangetroffen van spionage zoals die door Bloomberg wordt beschreven. Zelfs één van de contacten waar de publicatie mee sprak, kwam naar voren om een aantal problemen met het originele verhaal aan te kaarten.
Rechtzetting
Supermicro lijdt financieel verlies onder de gevolgen van het artikel. Het aandeel zakte na publicatie met 55 procent en heeft zich nog niet hersteld. CEO Charles Liang heeft ondertussen de wens uitgesproken dat Bloomberg het verhaal zou intrekken.
Ook Apple en Amazon, twee andere fabrikanten die door Bloomberg bij naam werden genoemd, vroegen reeds om een rechtzetting. Volgens het artikel zouden zowel bij Apple als Amazon servers met de spionagechips in kwestie zijn aangetroffen, maar beide bedrijven ontkennen dat.
De sterke en algemene bewoordingen die zowel Apple als Amazon in hun ontkenning van het verhaal gebruiken, zijn bovendien erg frappant. Beide zijn beursgenoteerde bedrijven en het is voor hen illegaal om over zoiets te liegen tegenover hun aandeelhouders.
Bloomberg wordt steeds meer onder druk gezet om met concrete bewijzen naar buiten te komen, maar houdt zich vast aan zijn bronnengeheim. Eén ding is alleszins duidelijk, het einde van dit verhaal is nog niet in zicht.
Gerelateerd: Chinese spionagechips in servers: wat is er aan de hand en hoever reiken de gevolgen?