L’enorme operazione della Cina per spiare le aziende americane
La racconta una lunga inchiesta di Bloomberg: c'entrano minuscoli microchip-spia e migliaia di server utilizzati anche da Apple e Amazon
Il settimanale Bloomberg Businessweek ha pubblicato una lunga inchiesta su un grosso caso di spionaggio informatico portato avanti dalla Cina negli Stati Uniti. Per anni, dice l’inchiesta, un’unità dell’esercito cinese ha inserito microchip grandi quanto la punta di una matita molto temperata su schede madre prodotte in Cina per conto di una delle più importanti aziende produttrici di server del mondo. In questo modo hacker cinesi hanno avuto accesso ai server di una trentina di aziende americane, tra cui una grande banca, Apple e Amazon, ma anche a quelli di agenzie governative.
L’inchiesta di Bloomberg Businessweek si basa sui racconti di 17 fonti anonime, tra cui sei tra funzionari ed ex funzionari che si occupano o si sono occupati di sicurezza nazionale, tre dipendenti di Apple e due dipendenti di Amazon Web Services (AWS), una società di Amazon che fornisce piattaforme cloud a privati, aziende e governi. Le fonti governative hanno definito l’operazione di spionaggio come il più grande attacco alla catena di produzione dei dispositivi tecnologici mai portato avanti contro aziende americane.
Apple e Amazon hanno risposto all’inchiesta negando praticamente tutto, e il governo cinese, pur non parlando direttamente dell’operazione di manipolazione dei server, ha detto di essere a sua volta una vittima degli attacchi alle strutture informatiche. L’FBI e le altre agenzie di intelligence americane si sono rifiutate di commentare l’inchiesta. Il numero delle fonti e l’autorevolezza di Bloomberg Businessweek, però, la rendono affidabile.
Come furono scoperti i microchip
I microchip cinesi furono trovati nel 2015 da Amazon e Apple, autonomamente. Amazon li scoprì perché era interessata ad acquisire Elemental Technologies, una startup con sede a Portland, in Oregon, che aveva sviluppato un software per comprimere pesanti file video e formattarli per schermi di diverse dimensioni; tra le altre cose, questo software è stato usato per lo streaming delle Olimpiadi e l’invio di filmati girati dai droni militari per la CIA. AWS, che stava studiando Elemental per capire se acquisirla fosse un investimento sensato per Amazon, chiese a un’azienda terza di fare dei controlli sui sistemi di sicurezza della startup.
Da questa analisi emersero dei problemi, per cui AWS chiese dei controlli più approfonditi sui server venduti da Elemental ai propri clienti per permettere loro di comprimere i video.
Alla fine della primavera del 2015 alcuni server – che, semplificando molto, sono dei computer che elaborano e gestiscono dati e che sono inseriti in una rete – furono mandati in Canada per essere analizzati dall’azienda terza, che sulle loro schede madre trovò dei piccolissimi microchip grigi o biancastri, che non comparivano sui progetti delle schede. Alla vista non sembravano microchip ma dei normali componenti delle schede madre, perciò non potevano essere scoperti senza strumenti appositi.
All’accensione dei server, i microchip rendevano il loro sistema operativo e la rete in cui erano inseriti permeabili a modifiche esterne. Davano inoltre agli autori dell’attacco la possibilità di rubare le chiavi di decrittazione, di bloccare gli aggiornamenti dei software di sicurezza e di inserire dei programmi esterni nelle schede: questo perché i microchip erano collegati a un Baseboard Management Controller, una specie di superchip che i gestori di un server possono usare per risolvere direttamente dei problemi, anche quando i server sono spenti.
Una GIF di Bloomberg Businessweek che spiega come fossero nascosti i microchip:
Dopo che i microchip furono scoperti, Amazon avvisò le autorità americane: la scoperta preoccupò molto le agenzie di intelligence perché i server di Elemental Technologies si trovavano anche nei data center del dipartimento della Difesa, nelle strutture della CIA e sulle navi da guerra della marina. Il problema in ogni caso non era solo di Elemental, perché i server che vendeva erano prodotti da un’altra azienda, la Super Micro Computer di San Jose, in California, comunemente chiamata Supermicro: una delle principali produttrici di server del mondo, con più di 900 clienti privati e pubblici in cento paesi.
Le fonti di Bloomberg Businessweek all’interno di Apple hanno raccontato che nell’estate del 2015 anche la loro azienda trovò dei microchip sospetti su schede madre comprate da Supermicro; all’epoca Apple ne usava circa settemila. Solo l’anno prima ne aveva ordinate più di diecimila da installare in più di 15 diverse strutture, da Amsterdam a Hong Kong, da New York a Tokyo, e aveva intenzione di ordinarne altre 20mila entro la fine del 2015. Dopo la scoperta dei microchip, però, Apple cancellò i contratti con Supermicro, per ragioni che a detta dell’azienda non avrebbero avuto nulla a che fare con i microchip. Allo stesso tempo si sbarazzò dei server di Supermicro di cui disponeva e li sostituì, secondo le fonti di Bloomberg Businessweek. Non si sa se Apple abbia subito un qualche tipo di attacco attraverso i microchip perché l’azienda non permise agli investigatori governativi di analizzare le schede madre manipolate.
A dire il vero, dice Bloomberg, ancora prima che Amazon e Apple scoprissero i microchip l’intelligence americana sapeva già che era in corso un attacco di questo tipo contro le aziende americane e sapeva anche che sarebbe stato portato avanti attraverso le schede madre di Supermicro. Nessuna azienda però fu avvertita del possibile rischio di comprare server contenenti microchip spia: sia perché avrebbe danneggiato enormemente Supermicro, sia perché avrebbe reso difficile scoprire gli scopi dell’attacco.
Come arrivarono i microchip sulle schede madre di Supermicro?
Gli attacchi informatici che agiscono attraverso l’hardware di un computer sono più complicati da portare avanti rispetto a quelli con i software (come capita con i virus), ma potenzialmente possono fare molti più danni. Ci sono due modi di organizzare operazioni di spionaggio di questo tipo: il primo, che secondo le informazioni diffuse da Edward Snowden è il preferito dell’intelligence americana, consiste nel manipolare dispositivi elettronici mentre sono in transito tra chi li ha prodotti e chi li userà. Con i microchip trovati sui server di Supermicro però è stato usato un altro sistema: le schede madre all’interno dei server avevano i microchip fin dall’inizio.
Le indagini hanno rivelato che furono installati in alcune fabbriche gestite da società che avevano subappaltato parte della produzione ai fornitori cinesi di Supermicro. Per la Cina, il paese in cui secondo alcune stime viene prodotto il 75 per cento di tutti gli smartphone del mondo e il 90 per cento di tutti i computer, compiere un attacco di spionaggio di questo genere è più facile che per gli altri paesi, anche se resta complicato.
Gli investigatori pensano che Supermicro sia stata l’obiettivo di questo attacco per due ragioni. La prima è la sua importanza nel mercato dei server: in un certo senso è come se Supermicro fosse la Microsoft dei server, perché i suoi server si possono trovare ovunque, un po’ come i sistemi operativi Windows. La seconda ragione sta nei suoi stretti legami con aziende e cittadini cinesi. Fondata nel 1993 dall’ingegnere taiwanese Charles Liang, è stata una delle prime aziende della Silicon Valley ad aver esportato parte della produzione nel sud-est asiatico. Ha avuto un grande successo perché grazie alla delocalizzazione della produzione poté offrire prezzi più bassi pur realizzando schede madre disegnate da ingegneri nella stessa California.
La maggior parte dei dipendenti di Supermicro a San Jose sono però taiwanesi o cinesi e nell’azienda la prima lingua che si parla è il mandarino: per questo, secondo gli investigatori, l’azienda è stata scelta per l’operazione di spionaggio. Il governo sta ancora cercando di capire se nell’azienda ci siano persone coinvolte nell’attacco informatico.
Quello che invece è stato appurato è che le fabbriche cinesi in cui furono costruite le schede madre di Supermicro con i microchip spia sono quattro, e che hanno lavorato per l’azienda americana per almeno due anni. I membri dell’unità dell’Esercito di Liberazione Popolare responsabile dell’attacco avrebbero avvicinato i gestori delle fabbriche fingendosi rappresentanti di Supermicro o funzionari governativi e avrebbero richiesto delle modifiche ai progetti originali delle schede madre usando tangenti o minacce di ispezioni governative negli stabilimenti.
Con le indagini si è anche scoperto quali altre aziende oltre ad Apple ed Elemental furono colpite dall’attacco, perché partendo dai microchip trovati sui loro server ci si è potuti collegare ad altri a cui erano connessi. Gli investigatori sono risaliti a 30 aziende colpite e hanno informato i più importanti clienti di Supermicro del problema.
Le conseguenze dell’attacco
Una delle fonti governative di Bloomberg Businessweek ha detto che lo scopo dell’attacco era a lungo termine: accedere a informazioni governative sensibili. Non si può dire con certezza, ma è possibile che l’attacco sia stato una delle ragioni per cui l’amministrazione di Donald Trump ha introdotto dei dazi sui computer e gli altri dispositivi tecnologici prodotti in Cina. Per quanto riguarda i dati personali, non sembra che ne siano stati rubati.
Dopo la scoperta dei microchip, Amazon ha esitato per un po’ sull’acquisizione di Elemental, ma alla fine ha comprato la startup nel settembre del 2015 e sembra che abbia sostituito tutti i suoi server con il cloud di AWS, tenuto in piedi da server prodotti da stabilimenti con cui Amazon ha a che fare direttamente, senza subappalti. Gli unici data center di AWS in cui venivano usati server di Supermicro erano quelli in Cina: gli addetti alla sicurezza di Amazon condussero una propria indagine nelle strutture e anche lì trovarono schede madre modificate, alcune con microchip ancora più sofisticati di quelli trovati in precedenza.
Invece di sostituire direttamente i server compromessi con i microchip spia, cosa che avrebbe fatto capire agli autori dell’attacco di essere stati scoperti, per mesi Amazon si è limitata a monitorarli: non ha però riscontrato tentativi di furto di dati. Quando poi nel 2016 il governo cinese si stava preparando a passare una nuova legge sulla sicurezza informatica, che secondo gli osservatori internazionali è stata approvata per concedere al governo un maggiore accesso ai dati personali, Amazon ha venduto i suoi data center cinesi a un’azienda cinese con cui collabora, giustificando la decisione con l’introduzione della legge.
Per quanto riguarda Supermicro, nel 2016 Liang annunciò la perdita di due grossi clienti, uno dei quali era Apple, incolpando la concorrenza. L’azienda è stata danneggiata anche da un problema di trasparenza: dopo aver lasciato passare due scadenze per la presentazione di dati richiesti dalle autorità di controllo del mercato, lo scorso agosto è stata rimossa dall’indice di borsa Nasdaq, che raccoglie i principali titoli tecnologici della borsa americana.