彭博通訊社上周報導,指中國使用微型間諜晶片,嵌入服務器主機板供應商Super Micro產品,入侵美國大企業及攻擊電腦網絡,受害者包括蘋果電腦、亞馬遜、大型銀行和政府承包商等等。
報導馬上一石激起千層浪,美國白宮國家安全顧問隨即指出,黑客晶片正是美國受中國網絡攻擊的最有力證明。蘋果及亞馬遜則回應,彭博的報導錯誤百出,兩大公司絕無黑客入侵事件。受打擊最大,當然就是Super Micro,股價當天下跌了五成,一眾中國電腦生產商聯想中興,也齊齊跌一成多。Super Micro不少底板應用在全球數據中心, IT界當然引起軒然大波。
近日網上討論亦鬧得沸沸騰騰,彭博報導並未提供實物,只是搜集不同公司證人口供,信與不信其報導約參半。不過主編力挺搜集資料過程嚴謹,業經多方考証核實,調查時間長達一年,並非一項fake news。
近年發生不少的大型電腦及網絡入侵事件,從技術角度分析,黑客晶片是否有可能做到,又由什麼途徑可以入侵服務器?
首先,近年以軟件入侵方式,通常以惡意程式(Malware)作為代理程式(Agent),本身不需很大活動空間,只是負責打開連接系統一度門;譬如打開端口(Open port),代理程式連接雲端的C&C(惡意軟件指揮及控制中心),下載攻擊軟件,或直接偷走內部資料。據報導,今次發現的晶片,只有白米般大小,不須發動任何攻擊,只要打開端口或連上C&C,任務便完成。
現代企業級的服務器,均設BMC模塊,全名為Baseband management controller,主要提供獨立管理渠道,系統管理員可遠距離操作管理,更新靭體軟件(Firmware);例如Dell的IDRAC,HP的iLO,及Lenovo的IMM等。即使是系統還未載入作業系統,管理員已可遠端接入,檢查系統各種的問題。較早前,Super Micro的BMC模塊確曾發現嚴重漏洞,容許第三方靭體軟件版本可更新。黑客遂可在靭體軟件,植入惡意程式,以攻擊服務器。
即使不少BMC管理方案,確存在安全的漏洞。今年美國Black Hat大會,有人即場示範,如何利用BMC潛在漏洞,成功入侵服務器。若黑客芯片確有其事,其實亦可入侵BMC靭體軟件,以惡意程式代替。肆虐全球的Wannacry勒索軟件,就是通過烏克蘭會計軟件MeDoc散佈開始。
不過,全球企業的IT保安團隊,版本更新(Patch Management)均有嚴格管理,靭體會先廣泛測試,才作最終廣泛部署,不會自動就升級。除非惡意程式從源頭植入,否則也難更新原來靭體軟件。
據彭博社的描述,黑客芯片可監察電腦主版的數據傳遞,中間插入惡意指令,或改變數據,讓主機CPU執行惡意指令。通過BMC進行入侵,再下載惡意程式,這類攻擊手法,技術上似乎行得通。不少保安專家亦表示,上述方法具可行性,網絡上亦會有異常傳送,譬如服務器一旦上載公司資料,或下載惡意軟件,蘋果或亞馬遜等企業均有嚴密監控,應該也難以得逞。
黑客晶片出現,孰真孰假未能定斷,亦未有十足證據,令人半信半疑。今次事件,肯定喚起注意網絡安全,日後軟件升級,肯定加倍嚴謹。
作者:梁定康,現任網絡工程師,負責研究IT保安及網絡設計