25 марта 2020 года AMD подтвердила, что в конце 2019 года хакер смог получить доступ к конфиденциальной информации и скачать часть исходных кодов текущих и будущих графических продуктов компании.
«В AMD безопасность данных и защита нашей интеллектуальной собственности являются приоритетом. В декабре 2019 года с нами связался человек, который утверждал, что у него есть тестовые файлы, относящиеся к подмножеству наших текущих и будущих графических продуктов, некоторые из которых были недавно размещены в Интернете, но с тех пор были удалены. Хотя мы знаем, что у преступника есть дополнительные файлы, которые не были обнародованы, мы считаем, что украденные графические объекты интеллектуальной собственности не являются основой конкурентоспособности или безопасности наших графических продуктов. Нам не известно о том, что у преступника есть какое-либо другие объекты интеллектуальной собственности AMD. Мы тесно сотрудничаем с сотрудниками правоохранительных органов и другими экспертами в рамках продолжающегося уголовного расследования», — заявили в пресс-службе компании.
Хотя в компании AMD не конкретизировали, что именно было похищено, эксперты ресурса TorrentFreak предполагают, что утекшие данные содержат информацию по проектам Navi 10 (например, Radeon RX 5700), Navi 21 (Big Navi, флагманский GPU на архитектуре RDNA) и Arden (решения для приставки Microsoft Xbox Series X).
Таким образом, достаточно важная и сложная часть интеллектуальной собственности AMD была похищена. Причем злоумышленник не был обнаружен ИБ-специалистами AMD, а критичные данные хакер смог сохранить в достаточном объеме, чтобы официально можно было признать это серьезным инцидентом для компании.
Некоторое время спустя часть похищенной информации была выложена на GitHub пользователем xxXsoullessXxx. В настоящее время эти репозитории удалены по запросу AMD. «Этот репозиторий содержит интеллектуальную собственность, принадлежащую и украденную у AMD», — написано в комментариях AMD. Было сделано еще минимум четыре форка репозитория, которые также удалены GitHub по запросу AMD. В компании AMD воспользовались действующим в США Законом об авторском праве в цифровую эпоху (DMCA) для удаления из GitHub сведений о внутренней архитектуре GPU Navi и Arden, полученных в результате утечки информации.
Причем, по заявлению хакера, он обнаружил эту информацию еще в ноябре 2019 года в незашифрованном виде на одном из компьютеров AMD, взломанном с помощью эксплойтов. Хакер в настоящее время ищет покупателя, готового заплатить за эту информацию $100 млн. Вдобавок, если данные никто не купит, то хакер пообещал их опубликовать в публичном доступе.
Фрагменты ответов хакера из его интервью порталу TorrentFreak:
- «в ноябре 2019 года я обнаружил и скачал исходные коды аппаратного обеспечения AMD Navi GPU со взломанного компьютера, пользователь которого не предпринял никаких эффективных действий против утечки информации»;
- «я не общался с AMD об этом инциденте, потому что уверен, что вместо того, чтобы они признали, что это произошло из-за их ошибки, и договориться со мной, они попытаются подать в суд на меня";
- «на GitHub и других ресурсах был опубликован только один «пакет с исходным кодом», у нас есть еще и там много больше данных»;
- «если у меня не будет покупателя на эти данные, то я просто выложу их в открытый доступ, правда, файлы будут защищены паролями, которые получат только отдельные пользователи».
Вот что еще было размещено пользователем xxXsoullessXxx на GitHub, сейчас эти страницы удалены:
В настоящее время финансовые эксперты и ИБ-специалисты не могут сказать, как именно повлияет эта утечка конфиденциальной информации AMD на дальнейшее развитие графических разработок в компании, но котировки акций AMD уже начали снижаться.
26 марта 2020 года издание WCCFtech пояснило, что у хакеров оказались файлы Verilog, обычно используемые при создании интегральных микросхем. Опубликованные на открытых ресурсах файлы относятся к одной изолированной функции, реализованной в графическом процессоре AMD. Причем, эта функция не является частью ядра, поэтому не представляет большого интереса для специалистов. Более того, опубликованные файлы опираются на фирменную процедуру разработки и совместимы только с внутренним языком проектирования AMD, то есть почти бесполезны для третьей стороны — они не пригодны для проектирования или обратного инжиниринга.
