这些主板都属于美国超微公司(Supermicro),超微是世界最大的服务器主板供应商之一,该公司的客户包括了银行、美国政府承包商、亚马逊苹果等大型企业。苹果在 2015 年原计划为其数据中心从超微订购超过 3 万台服务器,但在主板上发现恶意芯片之后苹果与超微终止了合作。亚马逊 AWS 此前在中国建立了数据中心,大量使用了超微的主板,在发现恶意芯片之后 AWS 安全团队对中国数据中心的主板进行了检查,发现了更多设计巧妙的恶意芯片,AWS 最终将整个中国数据中心都出售给了中国公司。
报道称,这些芯片是中国军方设计的,部分芯片的外形类似信号调节耦合器,集成了内存、网络功能和发动一次攻击所需的足够处理能力。当植入的芯片激活后,它会修改操作系统内核,使其能接受修改。芯片还会尝试联系攻击者控制的服务器接收更多指令。在报道了硬件供应链攻击之后,《彭博商业周刊》又报道了软件方面的供应链攻击。
报道援引“知情人士”的消息称,超微公司(Supermicro)提供关键固件更新的在线入口 2015 年被来自中国的攻击者入侵,攻击者修改了服务器主板网卡的固件,允许其能悄悄控制服务器的通信。有至少两家客户下载了修改过的固件,其中一家是 Facebook。Facebook 证实有此事,但表示它只购买了少量超微硬件用于实验室的测试,没有用于产品。苹果否认它遭遇了服务器恶意芯片攻击,但承认遭遇过软件供应链攻击,事故发生在 2016 年,只影响实验室里的一台 Windows 服务器。苹果称这是它与超微终止合作的原因,否认恶意芯片是它与超微切断合作的原因。
中美两国的吃瓜网友,都对该媒体的报道存在较大的疑问,主要是因为该媒体报道中所有的关于这个芯片的信息都来自于“匿名”信源。那么与目前苹果和亚马逊公司公开的强烈否认相比,很多美国吃瓜网友就认为这反而令该媒体的报道看起来更缺乏可信度。
但该媒体的记者坚称他们的报道来自17个不同的信源,而且只是因为案件太过敏感才将他们匿名处理。