Uma exposição detalhada publicada pelo Bloomberg alega que uma unidade militar secreta colocou minúsculos chips em placas-mães de servidores para roubar informações de algumas das maiores empresas e agências da América, incluindo um grande banco, contratados do governo e empresas de tecnologia como Amazon e Apple.
A unidade secreta supostamente inseriu microchips do tamanho de uma ponta de lápis em placas-mãe em fábricas chinesas que as forneceram à Supermicro, uma fabricante de computadores que forneceu mais de 30 mil servidores ao longo de dois anos para atender data centers em todo o mundo.
Essas placas-mãe foram então construídas em servidores, que foram enviados para data centers operados por até 30 empresas. Quando um servidor era ligado, o microchip podia se comunicar com computadores externos e baixar instruções deles, permitindo que os invasores tivessem acesso a senhas e controlassem o que os servidores faziam.
A Bloomberg diz que três executivos da Apple corroboram a afirmação, bem como seis atuais e ex-altos funcionários de segurança nacional. Um total de 17 pessoas confirmaram o ataque, nenhum dos quais forneceu seus nomes “por causa da natureza sensível e, em alguns casos, secreta da informação.
Um funcionário do governo disse à Bloomberg que a meta da China era "acesso de longo prazo a segredos corporativos de alto valor e redes governamentais sensíveis", e que "não há ramificações para os dados dos consumidores".
Amazon, Apple, Supermicro e o governo chinês emitiram declarações por e-mail para a Bloomberg, contestando os relatórios.
"Nisso, podemos ser muito claros: a Apple nunca encontrou chips maliciosos, 'manipulações de hardware' ou vulnerabilidades propositalmente plantadas em qualquer servidor", escreveu a Apple à Bloomberg. “A Apple nunca teve nenhum contato com o FBI ou qualquer outra agência sobre tal incidente. Não temos conhecimento de nenhuma investigação do FBI, nem nossos contatos na aplicação da lei ”.
O ataque teria sido descoberto depois que a Amazon estava fazendo a devida diligência em uma nova empresa que estava pronta para comprar. Como o Washington Post aponta, é como o ataque aconteceu que teria sido tão impactante para a economia global. (Bloomberg diz que é o "ataque de cadeia de suprimentos mais significativo a ter sido realizado contra empresas americanas"). Os atacantes não só precisariam entender e manipular o design do produto, mas precisariam garantir que os dispositivos passassem pela cadeia de suprimentos global e até o local desejado.
