《彭博商業周刊》日前發表爆炸性調查報告,詳細說明中共情報部門命令分包商,在超微電腦(Supermicro)服務器主板植入惡意晶片。美國兩黨議員致信超微電腦,希望該公司就此事件提供更多信息。

共和黨參議員魯比奧(Marco Rubio)和民主黨參議員布魯門索(Richard Blumenthal)周二(10月9日)致信超微電腦首席執行官查理斯梁(Charles Liang),要求提供更多信息。

彭博社此前報道,超微電腦向蘋果、亞馬遜和美國政府出售的主板中,包含植入的中共間諜微晶片。這些微晶片為中共政府提供後門,訪問安裝主板服務器上的數據。

魯比奧等人的信中引述據彭博社報道說,中共軍隊參與了一項複雜的操作,將惡意監視和數據處理組件插入服務器主板。

據報道,中共情報人員欺騙、賄賂和脅迫超微電腦的第三方製造商和分包商改變主板設計。這些增加的組件雖然看似無害,對觀察者來說是常見的晶片,但其卻是複雜的後門,可以悄悄地為中共政府提供洩露的機密數據,且繞過國家最敏感系統安全控制的能力。

根據彭博社的報道,受感染的服務器在近30家公司中被發現,包括重要的金融機構,政府承包商和技術公司。

兩位參議員提出八個問題

魯比奧和布魯門索要求查理斯梁在2018年10月17日之前回答以下8個問題:

1)超微(Supermicro)何時首次了解有關其電腦和硬件中的惡意硬件組件和韌體的報告?Supermicro有沒有發現針對其產品的竄改組件或韌體?

2)Supermicro是否對其供應鏈進行了調查,以確定其產品可能出現的任何修改或安全問題?如果發現竄改,它是否與這些供應商斷絕關係?

3)如果Supermicro發現或以其它方式發現了對硬件或韌體的不明修改,是否已採取措施從供應鏈中刪除被竄改的產品?

4)當「The Information」在2017年2月報告蘋果公司發現韌體被洩露時,Supermicro是否根據Leng的承諾,對供應鏈潛在滲透進行了調查?如果調查了,這次調查的結果是甚麼?

5)Supermicro是否與美國執法部門合作處理此類報告?如果發現竄改,您是否會向美國當局提供可能受影響客戶清單並向客戶提供信息?

6)Supermicro是否已制定篩選或審核措施以評估其供應鏈,並檢測和減輕任何此類竄改產品的企圖?

7)如果發現竄改,Supermicro是否會根據韌體更新,軟件補丁,配置更改或操作系統防禦來評估是否可以減輕此類竄改?

8)中國(中共)政府是否曾要求訪問Supermicro的機密安全信息或試圖限制有關Supermicro產品安全性的信息?◇