总部位于美国华盛顿特区的研究机构──安全暨新兴技术中心(Center for Security and Emerging Technology,CSET)发布一份报告指出,近日全球最大GPU供货商Nvidia遭遇勒索软件攻击的事件,可能会让该公司在中国市场的竞争对手得利。
根据业界消息,Nvidia是在3月初被黑客窃取机密信息──名为“Lapsus$”的勒索软件黑客组织泄露Nvidia的密码、电路图、驱动程序以及韧体,还威胁该公司如果不满足其要求,就会再泄漏更多的信息。而ArsTechnica网站的报导则指出,该黑客组织对Nvidia的要求包括解除其游戏绘图卡上的加密货币挖矿限制,以及开放GPU驱动程序码。
Nvidia的一位发言人在回复《EE Times》的电子邮件中表示,该公司是在2022年2月23日发现遭到网络攻击;“在发现该事件后不久,我们进一步强化了我们的网络,也聘请了网络安全事故响应专家,并通报执法部门。”
“我们没有证据显示勒索软件被部署于Nvidia环境,或者是与俄乌冲突有关;”Nvidia表示:“威胁者从我们的系统取得了员工凭证与一些Nvidia专有信息,并于在线泄漏这些信息。”该公司亦表示正在努力分析那些信息,也不预期此事件会业务或是客户服务造成中断。
GPU让Nvidia成为顶尖业者,根据companiesmarketcap网站的数据,该公司目前市值达到5,500亿美元,排名全球第九。Nvidia的GPU驱动了机器人、自动驾驶车辆以及其他各种应用背后的人工智能(AI)系统。
CSET是美国乔治敦大学华许外交学院(Georgetown University’s Walsh School of Foreign Service)旗下的政策研究组织;该机构最新发布的报告指出,此黑客事件可能帮助Nvidia在中国的AI与GPU竞争对手迎头赶上。但目前人们对该黑客组织所知不多,仍在搜查嫌疑者。
“那些黑客似乎已经取得的工具可能帮助中国的AI与GPU业者追上美国竞争对手,设计出他们自己的尖端芯片;”CSET报告也指出,黑客可能为Nvidia带来严重问题,这家芯片设计业者拥有宝贵的智财(IP)以及用以打造这些IP的专属工具。
地缘政治情报顾问机构Stratfor则预期,西方科技业者将会遭遇更多网络攻击;该机构分析师Matthew Bey指出:“重要的课题在于尝试降低成功攻击的可能性、限缩攻击发生带来的冲击,以及部署遭受攻击时的备援与应变复原策略。”
“Lapsus$据信是在巴西或其他南美洲国家运作的黑客组织,”Bey表示:“他们可能是锁定高知名度的技术或者半导体公司,基于IP对这些公司的重要性,以及预期藉由威胁将泄漏有价值IP,可迫使他们支付赎金。”
独立分析师Dylan Patel则认为,这桩黑客攻击事件对美国来说是“国家灾难”;他在Substack平台上的一篇贴文中指出:“中国的AI与GPU业者能藉此崛起并在设计他们自有GPU方面大幅追赶;但是西方世界的竞争对手可能完全不想介入。”
这并非全球半导体供应链中的公司首次遭遇勒索软件攻击;2018年,台湾半导体业者亦曾遭遇网络安全事件,让全球芯片业者开始与网络安全社群密切合作,强化制造生产线的安全。Nvidia的发言人则表示:“安全是我们非常严肃看待的一个持续的过程,我们一直投资程序代码的保护与质量。”
一个自称是Lapsus$的团体在Twitter上公布了与前述攻击事件相关的信息;而CSET指出,该组织似乎也窃取了三星(Samsung)的专有信息并勒索赎金。根据《彭博新闻》(Bloomberg)的报导,该黑客组织是在3月7号窃取了三星的数据。
(参考原文:Hack of Nvidia ‘A National Disaster’,By Alan Patterson;编译:Judith Cheng)