Oggi Bloomberg ha pubblicato un lungo articolo su una cyber-spy story dalle ramificazioni molto profonde, che mette in luce una vulnerabilità di base della moderna produzione di tecnologia: gli attacchi alla supply chain.
In Cina viene prodotto circa il 90% dei PC e il 75% dei cellulari usati in tutto il mondo. Aziende occidentali progettano prodotti, che poi vengono assemblati dai loro fornitori cinesi, che in molti casi affidano il compito a sub-fornitori, sempre in Cina o nel sud-est asiatico.
Il Paese diventa quindi un luogo ideale per operare quegli attacchi supply chain, temuti da grandi aziende e agenzie di sicurezza in tutto il mondo proprio perché molto efficaci e difficili da individuare (ma a onor del vero anche complicati da eseguire).
La storia interessa attori molto noti come Apple e Amazon, agenzie come la CIA e l’FBI, un’azienda meno nota chiamata Elemental Technologies e soprattutto la Super Micro Computer (Supermicro), uno dei maggiori produttori di schede madri al mondo. Tutte queste organizzazioni hanno base negli Stati Uniti.
È importante notare come tutte le aziende coinvolte abbiano categoricamente negato il coinvolgimento in questa storia. Bloomberg è una fonte estremamente autorevole, ma dall’altra parte sia Amazon sia Apple hanno nettamente smentito i fatti raccontati nell’articolo. Le posizioni sono talmente distanti che probabilmente una delle parti è marcatamente in errore (o in malafede). Solo il tempo ci dirà quale, per ora riporto brevemente il contenuto dell’articolo di Bloomberg.
Nel 2015 Amazon aveva intenzione di acquisire Elemental Technologies, che sviluppa software e hardware per la compressione video (una assoluta necessità per Amazon, visto il suo servizio Prime Video). La sua collegata Amazon Web Services decide di affidare a un’azienda terza la verifica dei livelli di sicurezza di Elemental, e questa azienda scopre nelle schede madri dei server che le sono stati inviati per il controllo un chip che non faceva parte dei progetti originali.
Il chip era piccolo come un chicco di riso, pareva addirittura mascherato per sembrare un accoppiatore per il condizionamento del segnale, invece conteneva memoria, networking e una piccola cpu. In teoria il chip consentiva di spalancare le porte della macchina – e del network dove era collegata – a un attaccante che sapeva dove andare a colpire, manipolando i segnali a livello così basso che nessun software avrebbe potuto impedirlo. Amazon allertò subito le autorità.
La scheda madre veniva fornita a Elemental da Supermicro, che ha il quartier generale in California, assembla i suoi componenti nelle sedi negli Stati Uniti, Paesi Bassi o Taiwan, ma che per le schede madri si affida nella quasi totalità dei casi a fornitori in Cina. C’è chi definisce Supermicro “la Microsoft dell’hardware”, poiché i suoi prodotti sono molto diffusi in tutto il mondo, integrati in PC, server e dispositivi praticamente ovunque.
Anche Apple, riporta Bloomberg, nel 2015 scoprì i chip “clandestini” all’interno dei suoi server – sempre forniti da Supermicro. Come Amazon anche Apple informò l’FBI, ma al momento di farlo aveva nella sua rete ben 7.000 server Supermicro potenzialmente vulnerabili.
Le agenzie di sicurezza americane iniziarono a monitorare la supply chain delle schede madri, arrivando presto alle fabbriche cinesi interessate: sub-fornitori dei fornitori di Supermicro. Lì scoprirono come avveniva l’inserimento dei chip-spia. I responsabili delle fabbriche venivano approcciati da individui che, a seconda dei casi, li minacciavano, li corrompevano o li raggiravano (ad esempio fingendosi dipendenti del committente Supermicro, che pretendeva modifiche dell’ultimo minuto all’hardware). Raggiunto l’accordo, i chip venivano spediti alle fabbriche che li integravano nei prodotti.
Secondo le agenzie che hanno tenuto d’occhio tutto il processo, l’operazione sarebbe stata condotta da un dipartimento dell’Esercito popolare di liberazione cinese specializzato in “attacchi hardware“. Da notare che è la prima volta che si fa riferimento a tale gruppo all’interno delle forze armate cinesi.
L’articolo di Bloomberg ha sollevato un vespaio di polemiche, anzitutto per le ripercussioni di ordine geopolitico – l’attacco rappresenterebbe un’operazione di spionaggio senza precedenti della Cina ai danni degli Stati Uniti e di altri Paesi – ma anche per il calo di fiducia nelle aziende coinvolte (Amazon e Apple gestiscono quotidianamente dati sensibili di milioni di persone, aziende e istituzioni) e per le conseguenze potenzialmente devastanti per il business di Supermicro, un’azienda fondata e ubicata negli Stati Uniti, anche se secondo Bloomberg nella sua sede californiana impiega prevalentemente personale taiwanese e cinese.
Nei prossimi giorni aspettiamoci ulteriori aggiornamenti da questa storia, magari – viste le posizioni attualmente inconciliabili – con qualche colpo di scena.
Per maggiori dettagli consiglio di leggere per intero l’inchiesta di Jordan Robertson e Michael Riley su Bloomberg, quindi la netta smentita di Amazon, quella di Apple e ovviamente del Governo cinese.