I en lang artikkel, basert på et stort antall anonyme kilder i selskapene og hos amerikanske myndigheter, forteller det velkjente finansnyhetsbyrået Bloomberg om det som skal være storstilt maskinvarebasert hacking utført av kinesiske spioner.
Stikkordet er mikrobrikker.
Mikrobrikkene, i noen tilfeller ikke større enn en blyantspiss, skal ha blitt installert ved kinesiske fabrikker som leverte deler til Super Micro Computer Inc, en av verdens største produsenter av hovedkort til dataservere.
Mikrobrikkene ble enten kamuflert som naturlige deler av en servers hovedkort, eller forsøkt skjult helt. Idet en server ble installert og slått på i de amerikanske selskapene, ble mikrobrikken aktivert.
Mikrobrikkens oppgave var, ifølge Bloomberg, å endre operativsystemet slik at det åpnet en «bakdør» i datamaskinen. Denne bakdøren åpnet serveren for kontakt med andre datamaskiner kontrollert av hackere et annet sted i verden.
Både Apple og Amazon skal ha oppdaget de fremmede mikrobrikkene i 2015 og siden kvittet seg med utstyret brikkene var montert på.
– Har ikke skjedd
Medieselskapet Bloomberg Businessweek, som leverer teknologi.- og næringslivsnyheter skal ha snakket med en rekke anonyme kilder i den amerikanske etterretningen og selskaper som bekrefter den uvanlige hackingen av hardware, og at amerikanske myndigheter skal ha etterforsket saken.
Så mange som nesten 30 amerikanske selskaper skal ha blitt rammet, blant dem store banker, føderale byråer, Apple og Amazon.
Både Apple, Amazon og Super Micro Inc. benekter hardnakket påstandene og kaller dem for usanne.
I en offisiell uttalelse sier Apple at selskapet gjentatte ganger har tilbakevist påstandene overfor Bloomberg.
Også Amazon går til knallhard angrep på artikkelen og det ikke finnes noe bevis som bekrefter påstanden.
Hardware-produsenten Super Micro Computer svarer Bloomberg at de ikke var klar over at det fantes noen etterforskning av saken, og at ingen kunder har sluttet å bruke deres produkter i frykt for kinesiske hackere.
Aksjekursen deres får imidlertid juling på børsen og er i skrivende stund ned over 40 prosent.
Kinesiske myndigheter kommenterte ikke påstanden om manipulering av Supermicros servere direkte, men uttalte overfor Bloomberg at: «Leverandørsikkerhet i cyberspace er en felles bekymring, som Kina også er et offer for.»
Bloomberg på sin side hevder seks anonyme etterretningskilder samt interne kilder i Amazon og Apple bekrefter hackingen.
Forsvarsdepartementet har vært kunder
En av kundene til Super Micro Computer er det norske forsvarsdepartementet. Overfor NRK bekrefter departementet at det har kjøpt produkter av det amerikanske selskapet, men at disse kun har blitt benyttet til testformål.
«Produktene har ikke vært tilkoplet våre IKT-systemer og vil heller ikke bli benyttet i fremtiden,» skriver Lars Gjemble, pressevakt i Forsvarsdepartementet i en e-post til NRK.
Han skriver videre:
«Forsvarsdepartementet har et høyt fokus på sikkerhet og tar alltid dette med i betraktning i kjøp av IKT-utstyr».
– Ikke science fiction
Sikkerhetsrådgiver og passordekspert Per Thorsheim sier til NRK at han ikke vet hvem som sitter på sannheten i denne saken, men at det er fullt mulig at det Bloomberg skriver er riktig.
–Dette kan så absolutt ha skjedd. Det er ikke noe science fiction over dette, det er fullt mulig å gjennomføre rent teknisk, sier Thorsheim til NRK.
Han sier det i så fall ikke er første gang denne typen maskinvarebasert hacking finner sted:
– De såkalte Snowden-avsløringene avdekket jo at amerikanske myndigheter installerte overvåking i utstyr som var på vei til land amerikanske myndigheter var interesserte i å følge med på, sier Thorsheim.
Samtidig har han bitt seg merke i at Apple og Amazon hardnakket benekter historien Bloomberg forteller. Thorsheim mener det kan bety at Bloomberg faktisk har tatt feil, men sier selskapene også kan ha interesse av å benekte historien uansett:
– Dette er jo amerikanske selskaper og i USA er man jo flinke til å saksøke bedrifter og organisasjoner for hva som helst. Ved å innrømme feil inviterer man til massesøksmål, så en naturlig reaksjon fra selskaper i en slik situasjon vil være å benekte at noe galt har skjedd.