שבב הריגול הסיני יזעזע את שרשרת האספקה העולמית
8 אוקטובר, 2018
תחקיר בלומברג על האופן שבו השתילה סין שבב ריגול במחשבים של הצי האמריקאי וה-CIA, תואם באופן מדהים לאזהרות שפירסם הסנאט לפני ארבעה חודשים. "איבדנו את האמון", אמר האנליסט ברט סימפסון
בשבוע שעבר הטילה סוכנות הידיעות בלומברג פצצה פוליטית, כלכלית וטכנולוגית במסגרת תחקיר החושף כיצד הצליחה סין לחדור לשרתים ולציוד של משרד ההגנה האמריקאי באמצעות שבב ריגול שהותקן בחשאי בלוחות-האם של מחשבים שיוצרו עבור חברות אמריקאיות. עיקרי הסיפור: בשנת 2015 רכשה אמזון את חברת אלמנטל (elemental), אשר פיתחה תוכנה לדחיסת קבצי וידאו וסיפקה אותה על גבי שרתים ייעודיים לצרכיה, שניבנו על-ידי חברת סופרמיקרו (Supermicro).
לאלמנטל יש לקוחות ממשלתיים חשובים דוגמת נאס"א (התוכנה שלה שימשה ליישומי תקשורת עם תחנת החלל הבינלאומית), הצי האמריקאי שהציב את השרתים בתוך ספינות קרב, וסוכנות הביון המרכזית (CIA) שהשתמשה בהם לעיבוד צילומים שהגיעו ממל"טים שהיא מפעילה ברחבי העולם. העיסקה התאימה למודל העיסקי של אמזון, וגם לעובדה שהיא זכתה במכרז להקמת שירות ענן ייעודי עבור ה-CIA. לאחר העיסקה, הועברו מספר שרתים לחברה קנדית לצורך בדיקת בטיחות שגרתית. החוקרים גילו בלוחות האם שבב בגודל של גרגר אורז, שלא הופיע בתוכניות הייצור המקוריות.
גרגר האורז שחשף את סודות הביטחון של ארה"ב
בלומברג מדווחת שאמזון דיווחה על התגלית לרשויות, והן החלו לחקור את השבב. התברר שהוא הותקן בלוחות-האם על-ידי קבלני ייצור בסין, ומיועד לפתוח "דלת אחורית סמויה" בשרת, שדרכה יכולים האקרים להיכנס אל הרשת שבה השרת מותקן. המקורות הממשלתיים שחקרו את הפרשה דיווחו לבלומברג שבתהליך ההתקנה היתה מעורבות של צבא סין. הם מצאו ש"ההתקפה הזאת על שרשרת האספקה" פגעה בכ-30 חברות, בהן בנק גדול, קבלני משנה של הצבא האמריקאי וכן חברת אפל, שתכננה לרכוש 30 אלף שרתי סופרמיקרו עבור רשת גלובלית של מרכזי מידע.
חוקרים של סוכנויות מודיעין בארה"ב החלו לחקור את שרשרת האספקה של סופרמיקרו, והצליחו לגלות כיצד השיטה עבדה: מתווכים אלמוניים פנו אל מנהלי קווי הייצור אצל ארבעת קבלני הייצור של סופרמיקרו. הם הציגו עצמם כאנשי סופרמיקרו ודרשו לבצע שינויים בייצור. כאשר בקשותיהם לא נענו, הם הציגו עצמם כקשורים לשלטונות והציעו למנהלים שוחד אם ישתפו פעולה, או איום בבדיקות שיסגרו את קווי הייצור – אם יסרבו לשתף פעולה. החוקרים שרואיינו בעילום שם על-ידי בלומברג טוענים שהמתווכים הופעלו על-ידי יחידה טכנולוגית של הצבא הסיני, המתמחה בפריצות מבוססות חומרה שהם עוקבים אחריה זמן רב.
החברות מכחישות, הממשל כאילו מכחיש…
החברות המעורבות בדבר הכחישו את הדיווח בכל תוקף: חברת סופרמיקרו הודיעה שהיא "דוחה בתוקף" את ממצאי התחקיר שלפיו נמכרו שרתים של החברה בשנת 2015, כשבלוח האם שלהם הותקן שבב ריגול חשאי. מעולם לא מצאנו שבב עוין במחשבים שלנו ולא קיבלנו מידע מלקוחות שלנו שמצאו שבבים כאלה". מנהל מערכות המידע של Amazon Web Services, סטיב שמידט, הצהיר שהחברה הודיעה לבלומברג מספר פעמים בשבועות האחרונים שמעולם לא אותר שבב עויין או חומרה משובשת בכוונה בלוחות האם של סופרמיקרו שהותקנו במחשבים של Elemental או של אמזון. חברת סופרמיקרו הבהירה שמעולם לא היתה בקשר עם סוכנויות ממשלתיות בנוגע לנושא התחקיר. "ייצור לוחות-אם בסין אינו ייחודי לסופרמיקרו ומהווה נוהג מקובל בתעשייה. כמעט כל יצרני המערכות עובדים עם אותם קבלני משנה".
חברת אפל (Apple) מסרה תצהיר לרשת השידור MSNBC, שלפיו היא "מאוכזבת מאוד" מהאופן שבו בלומברג התייחסת אליה. "כתבי בלומברג לא היו פתוחים לאפשרות שהם, או המקורות שלהם, טעו. אנחנו מנחשים שהם עירבבו את הסיפור עם ארוע משנת 2016, שבו דיווחנו על גילוי דרייבר נגוע בשרת יחיד של סופרמיקרו. הארוע התברר כתקלה חד-פעמית ולא כהתקפה מכוונת נגד אפל". התגובה המעניינת ביותר היתה של המשרד להגנת המולדת (Department of Homeland Security): "בשלב הזה אין לנו סיבה לפקפק בהצהרות של החברות המוזכרות בתחקיר. אבטחת שרשרת האספקה של מוצרי טכנולוגיה ותקשורת היא משימה מרכזית של המשרד להגנת המולדת". הכחשה כל-כך רפה, שקשה להתייחס אליה ברצינות.
התעשייה הפכה לחזית מאבק
הארוע הזה מעורר חששות כבדים בתעשייה, שלפיהן ההסתמכות העמוקה על סין כאתר הייצור המרכזי של תעשיית האלקטרוניקה מהווה סיכון ביטחוני על כל לקוחותיה של סין. למרבית האירוניה, הסיפור אינו מפתיע: כבר לפני ארבעה חודשים פורסמה אזהרה רשמית המתריעה בפני ארוע כזה. ועדה מיוחדת של הסנאט האמריקאי הבוחנת את ההשלכות הבטחוניות של קשרי המסחר בין סין וארצות הברית הזמינה דו"ח מיוחד מחברת המחקר Interos Solutions. הדו"ח חשאי, אולם הוועדה פירסמה ממצאים מרכזיים:
"המדיניות של ממשלת סין היא להשתמש בחברות סיניות כדי להשיג יעדים ממשלתיים, ולכוון אל רשתות פדרליות אמריקאיות ורשתות תקשורת של קבלניות של הממשל הפדרלי. המדיניות הזאת מסכנת את שרשרת האספקה של תעשיית המידע והטכנולוגיה האמריקאית ואת הביטחון הלאומי.
"שרשרת האספקה בתעשיית הטכנולוגיה היא גלובלית ומרוכבת מאוד, וחברות אמריקאיות רבות מבעות ייצור בסין בנקודות שונות לאורך שרשרת האספקה שלהן. למשל, 51% מהייצור של שבעה קבלני טכנולוגיה מרכזיים של הממשל – מתבצעים בסין. יש צורך במדיניות לאומית אשר תתמודד עם הסיכון הטמון בשרשרת האספקה הנוכחית". הדו"ח נראה כמו ניבוי של הפרשה.
"איבדנו את האמון", אמר האנליסט הראשי בחברת Arete Research, ברט סימפסון, ל-EETimes. "אני צופה שיתחוללו שינויים מהותיים באופן שבו חומרה נבדקת, מאומתת ומאושרת לאורך שרשרת האספקה של תעשיית האלקטרוניקה". בשלב הראשון פירוש הדבר שינויים שיביאו ככל הנראה להעלאת מחירים. בשלב הבא, יכול להיות שהמדינות אשר רואות בסין איום ביטחוני, כמו ארצות הברית והאיחוד האירופי, יחליטו לנתק את שרשרת האספקה שלהן מהייצור הסיני – ולבנות לעצמן תשתית מקיפה ובטוחה יותר. בשורה התחתונה: תעשיית האלקטרוניקה הופכת לחזית חדשה בזירת המאבק הבינ-מעצמתי.
פורסם בקטגוריות: חדשות , סמיקונדקטורס , רכיבים