彭博再报导：Supermicro间谍芯片真的存在，美国国防部、英特尔、FBI都知情

2018年彭博报导指出，美商超微（Supermicro）的主板疑似被中国-支持的骇客植入间谍芯片，引发轩然大波。本周彭博再次引述消息人士报导，为这件事提供更多佐证。

2018年彭博报导，超微卖给苹果、Amazon等将近30家美国企业的服务器，在制造过程中遭供应链攻击，据悉被中国解放军控管的骇客植入间谍芯片，藉以窃取机密资讯。这篇报导引起业界震撼，不过包括苹果、Amazon及超微都驳斥这项报导。当时报导，中国骇客行动是于2015年，被一家民间安全厂商在鉴识过程中发现。

彭博上周报导则指出，发现中国骇客行动的还有其他单位，而且不只一家。根据最新报导，2010年美国国防部发现数千台服务器利用芯片内处理启动过程的程式码，暗中将军事网络资料传给中国。

2014年英特尔也发现公司网络被中国骇客组织利用一台服务器骇入，该服务器偷偷从英特尔供应商的软件更新网站下载恶意软件。此外，2015年美国联邦调查局（FBI）也警告多家企业，中国骇客将一块含有后门程式码的芯片，嵌入到一家制造商生产的服务器。

报导指出，三案件的共通点在于中国以及美商超微（Supermicro）。此外，美国情报单位得知后并未张扬，而是先缓解个别攻击，再从中搜集敌情。

彭博还报导，根据14名执法机关及情报组织有关的消息人士，2010年起美国-就严密监控超微，2012年FBI又依据外国情报监控法案（FISA）进行反情搜调查，包括监听一小组超微员工的通讯内容。另一名消息人士指出，2018年，FBI又找来一组民间组织来协助分析超微有恶意芯片的服务器。

2018年彭博报导虽耸动，但却以大量匿名消息人士为基础，从来没有人看到过这块问题主板，许多安全专家，包括Google Project Zero的Travis Ormandy也曾提出质疑。此外，前情报局长Dan Coats及FBI局长Christopher Wray 否认有发生过此事。

和两年前满满匿名消息来源的报导略为不同的是，彭博上周报导指，FPGA芯片厂商Altera安全长Mukul Kumar在一份报告当中指出，曾见过该款会连线回中国的间谍芯片。

彭博报导引述2018年时任FBI国安组助理组长的Jay Tabb指出，超微的例子显示，美国公司在中国生产设备产品被动手脚的风险有多高，也说明了如果没有完善的监控措施会导致什么可怕后果。Tabb并说，中国-此举由来已久，美国公司、特别是硅谷业者不能再假装没有这回事。

上周The Register也引述一家前半导体厂商高层的宣称，表示曾见过多国-拿出这块恶意芯片，他本人也握有证据。

超微再次否认这桩往事，表示彭博的报导是多篇零散、不精准的指控拼凑而成，再次集结许多经不起检视的牵强结论。超微指出，国安局上个月就已针对彭博的新报导说明，无法证实这件事曾经发生过，这也和2018年的结论相同。超微再次宣告，该公司从头到尾都不曾接获美国-、合作伙伴或客户的通知。

超微并指出，彭博最新报导并未说明这些调查的结果，以及调查是否还有持续进行。重点是，新闻提及的美国-单位，多年来仍持续采用该公司的产品。