A reportagem da Bloomberg que mostra como a China espionava empresas dos Estados Unidos informa também que o governo norte-americano pode ter sido uma das vítimas do ataque. Isso porque os servidores da empresa Elemental, onde estavam os microchips, podem ser encontrados nos centros de dados do Departamento de Defesa, nas operações de drones da CIA e nas redes a bordo de navios de guerra da Marinha.
Durante a investigação ultrassecreta que se segue aberta há mais de três anos depois da descoberta, os investigadores determinaram que os chips permitiram que os atacantes criassem uma entrada furtiva em qualquer rede que incluísse as máquinas alteradas. De acordo com a reportagem da Bloomberg, diversas pessoas familiarizadas com o assunto dizem que os investigadores descobriram que os chips foram inseridos em fábricas controladas por subcontratados na China.
A reportagem relata que os chips foram descobertos e reportados ao FBI pela Amazon, que os encontrou durante diligência antes da aquisição, em 2015, da Elemental Systems, uma empresa que detinha uma série de contratos com o governo dos EUA, e com a Apple, que teria implantado até 7 mil servidores Supermicro no auge da produção. Bloomberg informou que a Amazon removeu todos eles dentro de um período de um mês. A Apple de fato cortou os laços com a Supermicro em 2016.
A Amazon, por sua vez, completou o negócio com a Elemental Systems – supostamente no valor de US$ 500 milhões – depois que ela mudou seu software para a nuvem da AWS. Enquanto isso, a Supermicro foi suspensa das negociações na Nasdaq em agosto, depois de não apresentar relatórios trimestrais no tempo estipulado. É provável que a empresa seja excluída quando o prazo para o apelo terminar.
Uma autoridade disse que os investigadores descobriram que o ataque afetou quase 30 empresas, incluindo um grande banco, empresas do governo e a empresa mais valiosa do mundo, a Apple. Esta era um importante cliente da Supermicro e planejava encomendar mais de 30 mil de seus servidores para uma nova rede global de data centers. Três integrantes da Apple dizem que no verão de 2015 também encontraram chips maliciosos nas placas-mãe da Supermicro. A Apple cortou os laços com a Supermicro no ano seguinte.
Em declarações por e-mail, a Amazon (que anunciou a aquisição da Elemental em setembro de 2015), a Apple e a Supermicro contestaram a reportagem do Bloomberg Businessweek. “Não é verdade que a AWS sabia sobre um comprometimento na cadeia de suprimentos, problema com chips mal-intencionados ou modificações de hardware ao adquirir a Elemental”, escreveu a Amazon.
Já a Apple escreveu: “Nisso, podemos ser muito claros: a Apple nunca encontrou chips maliciosos, manipulações de hardware ou vulnerabilidades propositalmente plantadas em qualquer servidor”.
“Continuamos a desconhecer qualquer investigação desse tipo”, escreveu um porta-voz da Supermicro, Perry Hayes.
O governo chinês não abordou diretamente questões sobre manipulação de servidores da Supermicro, emitindo uma declaração que dizia, em parte, que “a segurança da cadeia de fornecimento no ciberespaço é uma questão de preocupação comum, e a China também é uma vítima.”
Já o FBI e o escritório do diretor da Inteligência Nacional, representando a CIA e NSA, se recusaram a comentar o caso.