Spionageangriff: Hacker hielten sich wohl jahrelang im Netzwerk von NXP auf
Zwischen Ende 2017 und Anfang 2020 hat sich eine Hackergruppe aus China angeblich regelmäßig im Netzwerk des niederländischen Halbleiterherstellers NXP ausgetobt. Dort griffen die Angreifer nicht nur E-Mail-Postfächer ab, sondern auch Chipdesigns. Zu ihren Werkzeugen gehörten unter anderem namhafte Cloudspeicherdienste.
Auf den Cyberangriff aufmerksam machte kürzlich die niederländische Zeitung NRC mit einem umfassenden Bericht. Dort heißt es, die Hackergruppe habe VPN-Zugänge von NXP-Mitarbeitern kompromittiert, um in das Unternehmensnetzwerk einzudringen. Gelungen sei dies unter anderem durch Brute-Force-Angriffe in Kombination mit Daten aus früheren Datenlecks. Die Benutzerkonten der Mitarbeiter seien über hinterlegte Telefonnummern zwar zusätzlich mit einer Zwei-Faktor-Authentifizierung gesichert gewesen, doch auch diese hätten die Angreifer umgehen können.
Datenabfluss über die Cloud
Verantwortlich für den Angriff ist wohl eine chinesische Hackergruppe namens Chimera. Den Namen hat die Gruppe aufgrund ihrer ChimeRAR genannten Software erhalten – ein Tool, mit dem sich die Angreifer mit Zielsystemen verbinden und darauf befindliche Daten exfiltrieren. Ein Angriff von Chimera sei der NRC zufolge auch am Passwort erkennbar, das die Gruppe üblicherweise verwende, um Zieldaten zu verschlüsseln: „fuckyou.google.com“.
Chimera habe den Zugang zum NXP-Netzwerk genutzt, um verschiedene interne Daten zu komprimieren, zu verschlüsseln und im Anschluss über Cloudspeicherdienste wie Microsoft OneDrive, Google Drive und Dropbox zu exfiltrieren. Dabei seien unter anderem E-Mail-Postfächer und Chipdesigns abgeflossen. Dieses Spektakel wiederholte sich dann angeblich alle paar Wochen. Die Angreifer seien regelmäßig zurückgekehrt, um nach neuen Daten zu suchen und in weitere Nutzerkonten einzudringen.
„Bürozeiten“ weisen nach China
Dass die Hackergruppe von China aus operiere, sei unter anderem an ihren „Bürozeiten“ erkennbar. „Die Logdateien, die sich über mehr als zwei Jahre erstrecken, zeigen, dass die Arbeitszeiten genau den chinesischen Zeitzonen entsprechen, einschließlich einer Pause gegen Mittag“, heißt es im NRC-Bericht. An Sonntagen sei Chimera üblicherweise ganztägig inaktiv gewesen. Und auch während chinesischer Ferienzeiten seien nur wenige bis gar keine Aktivitäten protokolliert worden.
Erste Hinweise auf den Hackerangriff auf NXP gab es wohl im Rahmen der Untersuchungen zu einem anderen Cyberangriff auf die niederländische Billigfluggesellschaft Transavia. Bei den Ermittlungen sei etwa aufgefallen, dass die Angreifer sich mit einer IP-Adresse in Eindhoven verbunden hatten – eben jener niederländischen Gemeinde, in der NXP seinen Hauptsitz hat. Später wurden auch bei dem Chiphersteller Untersuchungen eingeleitet.
Die NRC behauptet, NXP habe im Jahr 2020 keinen Grund dafür gesehen, seine Kunden vor den möglichen Folgen des Angriffs zu warnen. Schließlich sei für die Herstellung von Chips weitaus mehr nötig als nur die abgegriffenen Chipdesigns, so das Argument. Für die Produktion benötige man etwa spezielle Kenntnisse, die das Unternehmen „an anderen Orten“ aufbewahre.
Größter Halbleiterhersteller Europas
NXP ist seit der Übernahme von Freescale der größte Halbleiterhersteller Europas. In 2020 erzielte das Unternehmen einen Jahresumsatz von 8,6 Milliarden US-Dollar. Die von dem Hersteller produzierten Halbleiterprodukte sind unter anderem in der Automobilbranche zu finden. Aber auch in Fernsehern, Set-Top-Boxen, Smartphones sowie bei Sicherheitslösungen für Bankkarten oder Ausweise kommen Lösungen von NXP zum Einsatz.