[ziesell]

Zitat:

Spionageangriff aus China: Hacker waren wohl jahrelang im Netzwerk von NXP

Die Hacker sollen zwischen 2017 und 2020 unter anderem Chipdesigns von dem niederländischen Halbleiterhersteller NXP abgegriffen haben.



Eine mit China verbundene Hackergruppe hat sich angeblich von Ende 2017 bis zum Frühjahr 2020 im Unternehmensnetzwerk des niederländischen Halbleiterherstellers NXP Semiconductors aufgehalten. Dort griffen die böswilligen Akteure vor allem E-Mail-Postfächer und Chipdesigns ab, heißt es in einem Bericht der niederländischen Zeitung NRC. Einstiegspunkt seien Benutzerkonten gewesen, mit denen sich NXP-Mitarbeiter üblicherweise per VPN in das Firmennetzwerk einwählen.

Die Zugangsdaten erhielten die Angreifer wohl durch kombinierten Einsatz von Informationen aus früheren Datenlecks mit Brute-Force-Angriffen auf Passwörter. Auch eine Zwei-Faktor-Authentifizierung über eine mit dem jeweiligen Konto verbundene Rufnummer habe es bei NXP gegeben. Doch diese konnten die Hacker angeblich ebenfalls umgehen.

Datenabfluss über die Cloud

Nachdem die Hacker Zugang zum NXP-Netzwerk hatten, komprimierten und verschlüsselten sie dem NRC-Bericht zufolge interne Daten und missbrauchten für deren Exfiltration Cloudspeicherdienste wie Microsoft Onedrive, Google Drive und Dropbox. In Logdateien seien ferner Hinweise darauf entdeckt worden, dass die Angreifer alle paar Wochen vorbeischauten, um neue Daten abzugreifen und weitere Nutzerkonten zu übernehmen.

Aufgefallen war der Cyberangriff auf NXP wohl durch einen anderen Hackerangriff auf die Fluggesellschaft Transavia. Im Rahmen der Ermittlungen bei Transavia stellte sich heraus, dass die Angreifer eine Verbindung zu IP-Adressen in Eindhoven hergestellt hatten – der niederländischen Gemeinde, in der sich der Hauptsitz von NXP befindet. Infolgedessen wurden bei dem Halbleiterhersteller Untersuchungen eingeleitet.

Die Spuren führen nach China

Hinter dem Angriff steckt wohl die chinesische Hackergruppe Chimera. Deren Name leitet sich von der von den Angreifern verwendeten Schadsoftware Chimerar ab, mit der sie eine Verbindung zu Zielsystemen aufbaut und Daten abgreift. Charakteristisch für Chimera ist der NRC zufolge auch das Passwort, mit dem die Hacker die abgegriffenen Daten üblicherweise verschlüsseln: fuckyou.google.com.

Die Verbindung zu China werde unter anderem durch die Aktivitätszeiten der Hacker deutlich. "Die Logdateien, die sich über mehr als zwei Jahre erstrecken, zeigen, dass die Arbeitszeiten genau den chinesischen Zeitzonen entsprechen, einschließlich einer Pause gegen Mittag", heißt es bei der NRC. Sonntags habe Chimera grundsätzlich die Arbeit niedergelegt, zu chinesischen Ferienzeiten seien die Angreifer ebenfalls kaum bis gar nicht aktiv gewesen.

NXP habe im Jahr 2020 keinen Grund gesehen, seine Kunden vor den Auswirkungen des Angriffs zu warnen. Die Herstellung von Chips erfordere schließlich mehr als nur die abgegriffenen Chipdesigns. Es bedürfe spezieller Kenntnisse, um die Halbleiter tatsächlich zu produzieren. Dabei gehe es um Daten, die "an anderen Orten aufbewahrt" werden.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]