News Spionageangriff: Hacker hielten sich wohl jahrelang im Netzwerk von NXP auf

[Syranite]

Schön zu sehen dass die IT Kompetenz nicht nur in Deutschland katastrophal schlecht ist.
Hier muss man erst Systemadministrator studiert haben um Systemadministrator zu werden.
Man wartet also bis hier irgendjemand Systemadministrator studiert und so lang wird weiter wie verrückt irgend ein Resetknopf gedrückt!?
Ich fahre in letzter Zeit öfter Bahn und es ist einfach katastrophal das es gerade mal in einer S-Bahn zuverlässiges Internet gibt und das auch nur wenn die relativ leer ist. Manche Linien haben gar kein Internet und Dann gibt es noch die Regionalzüge bei denen seit Wochen das Internet auch nicht geht.
Fahrkarten kontrollieren sie aber noch. Das sind dann drei Mann inklusive Security und am Wochenende 5. Irgendwie hatte aber jeder das Deutschland Ticket und nur ein Afrikaner hat sich im Klo versteckt weil er dachte das sind die Bullen, welche jetzt die Leute kontrollieren. Danke liebe Bahnunternehmen das hier lieber weiter zig Leute zu sinnlosen Kontrollen beschäftigt und samstags nachts um 5:00 Uhr noch die Leute stressen müsst mit euren scheiß Kontrollen.
Für den System Administrator hat es wohl nicht gereicht, denn ich hab bei der letzten Kontrolle dann mal gefragt warum das Internet nicht geht. Und mir wurde gesagt sie seien schon froh wenn der Zug überhaupt fährt und es kommt immer darauf an wie der aufwacht.
Es scheint der jetzt gehäuft spontane Krankheitsfälle zu geben. Da wär ich auch krank wenn man in einem Unternehmen arbeiten muss dass es nicht mal schafft das scheiß Internet im Zug bereitzustellen.
Dazu kommen noch ständige Fehlinformationen. In der App werden Züge angezeigt die nicht fahren oder es fahren Züge die nicht in der App angezeigt werden und nur am Bahnsteig. Am Bahnsteig werden Verspätungen aber nur dann angezeigt wenn der Zug schon am Bahnsteig stehen sollte. Dann kommt eine Durchsage und vorher erfährt man nichts und auf der Anzeigetafel steht weiter die normale Abfahrtszeit.
Buslinien werden überhaupt nicht mehr in der App aktualisiert. Es gibt eine Buslinie da gibt es schon seit einer Woche eine große Baustelle und eine Haltestelle wird gar nicht mehr angefahren sondern irgendwo 5-10 Minuten Fußweg weiter eine Ersatzhaltestelle. In der App steht davon nichts das muss man erst selber raus finden und fährt dann schon mal ein bis 2 Stunden irgendwo durch die Gegend.

 

[Drakrochma]

Mich schockiert an der Stelle aber, das man so abgewi..st ist, und sich über die Kriminelle Handlung scheinbar keinen Kopf mehr macht.
Sorry, aber für mich is da nix normal.

Job ist Job, egal was man macht.
Und solange man sich so sicher sein kann wie ein Hacker in China, der sich nur am "Klassenfeind" abarbeitet, finden sich sicher genug Personen mit passender Sozialkompetenz...

 

[Piktogramm]

Ohne einen Anfangsverdacht schaut da keiner irgendwelche Logs durch, zumal die "Logs" auch total nichtssagen sein können.

Das ist dann aber wirklich schlechte Praxis. Real sollte als Minimum ein Monitoring laufen, welches Vorgänge nach Plausibilität bewertet. Das ist aufwendig und muss mindestens im jährlichem Review abgeklopft werden, aber es sollte getan werden!
Gerade Zugriffsmuster, die nicht zu lokalen Arbeitszeiten passen sind ja vergleichsweise simpel feststellbar. Klar können sich Angreifer darauf einstellen, aber in diesem Fall hat das nachträgliche Sichten von Logs ja Muster festgestellt..

Weiter im Thema - hatten die keine gehärteten Systeme oder war die Rechteverwaltung viel zu lasch im AD, gab es da keine klare Unterteilung zwischen den Bereichen, gab es hier keine PW-Richtlinien? Gibt es auch hier im VPN keine Client Zertifizierung oder darf hier gar mit privaten Geräten gearbeitet werden?

Der ganze Vorgang kommt mir echt komisch vor.

Komisch ist das, nach den Berichten die nach außen gedrungen sind, wurden u.a. Passwörter angegriffen.
Und Passwortrichtlinien sind zweischneidige Schwerter. Die Nutzer·innen neigen dazu Passwörter zu wählen, die die Richtlinie entsprechen bei gleichzeitig minimaler Entropie. Wenn dann noch sowas hinzu kommt wie das erzwungene Ändern jedes Quartal, wird man bei einer ausreichenden Anzahl an Nutzern ein paar Treffer mit sehr kleinen Standardwörterbüchern.
NxP0012!? <- Groß, Klein, Sonderzeichen, Ziffer MA hat 3 Jahre Passwortwechsel jedes Quartal mitgemacht.
Oder sehr beliebt, Straßennamen vom Sitz: Htcp0012!! (High Tech Campus Eindhoven)

Naja und irgendwie gab es 2FA über Telefon und da haben die Angreifer wohl Telefonnummern im System ändern können (WTF?!)

 

[LEDs]

den chinesischen Zeitzonen

In China gibt es nur eine Zeitzone

 

[tomgit]

Wenn die Firmen so denken, wie du es (be)schreibst, dann ist da schon das Problem. Wer eine gesonderte, kleine Gruppe an IT-Sec Stellen hat, die neben Dev und Ops arbeiten, kann fast nichts bewirkt werden.

Butter bei die Fische, NXP ist der größte Halbleiterhersteller in Europa. Wenn man hier bei der Cyber Security verpennt, dann tut es mir leid, ist es entweder ein hausgemachtes Problem, oder darf niemanden wundern, wenn Leute sich im Netzwerk befinden. Oder die Abteilung war selbst involviert.
Und gerade in der Position, dem Umsatz, und rund 30k Mitarbeitern kann man erwarten, dass das SOC entsprechend ausgestattet sein sollte.
Das ist keine kleine Software-Klitsche, bei der die Cyber Security Abteilung aus irgendwelchen Freiwilligen der Devs besteht.

Und ansonsten Logs prüfen. Händig ist das illusorisch, automatisiert verkackt das praktisch Jeder[1].

Händisch ist das absolut nicht illusorisch, besonders wenn man in die Automatisierung übergehen möchte. Denn was ist das Erste, was vor der Automatisierung geschehen sollte? Richtig, man müsste zuerst eine Baseline schaffen, welche mit den Betroffenen abzuklären ist, ob das auch so passt - und das geht eben nur, in dem man die Logs durchschaut.

Datenabflüsse im Traffic analysieren ist auch irrwitzig. Wenn Daten so oder so Richtung Azure, Office365, AWS, GoogleCloud geschoben werden, dann fällt der Traffic in die selbe Richtung nicht auf.

Doch. das fällt auf, wenn man die Security Abteilung entsprechend darauf schult und die Policies richtig konfiguriert sind. Und gerade in der Branche ist besondere Sorgfalt eigentlich angemessen. Ich rede ja nicht davon, dass man 24/7 sämtlichen Traffic betrachten sollte; aber wenn lokale Konten zu ungewöhnlichen Zeiten regelmäßig aus der selben ausländischen IP-Range zugreifen, sollte das irgendwann auffallen. Nicht erst nach drei Jahren.

Dass als MFA Methode SMS verwendet wurde ist auch peinlich, ist NXP eins der Hauptmitgliedern der FIDO Alliance. Hier hätte man intern mit einer ganz anderen Security Baseline arbeiten müssen, insbesondere was der Zugang zu kritischen Informationen anbelangt.

 

[Tulol]

wie sie 2fa über telefon umgehen konnten

Ich finde die sacje mit den Bruteforce attacken spannend.
Ich meine, wie schlecht muss die IT Sicherheit sein das sowas überhaupt heutzutage noch möglich ist.

 

[mTw|Marco]

Hier muss man erst Systemadministrator studiert haben um Systemadministrator zu werden.
Man wartet also bis hier irgendjemand Systemadministrator studiert

„Systemadministrator“ kann man nicht studieren…

 

[nazgul77]

Jahrelang werden von Kunden teuer bezahlte Chip Designs abgezogen, unter anderem Sicherheitslösungen für Bankkarten, und man stuft das eiskalt ein als nicht meldewert.? Welche Bank, welcher Kunde ist wohl mit dieser Taktik des Totschweigens einverstanden?

Mich interessiert wie die 2fa ausgehebelt wurde. Das sollte nicht-trivial sein, erfordert eine gehackte Rufnummer und Passwort, sofern nicht durch einen SW Fehler in VPN Client ermöglicht

Der Vorfall zeigt einmal mehr das Ausmaß der staatlichen kriminellen Cyber Energie in China. Bei so viel Ausdauer und finanziellen Mitteln - es wurde kein Lösegeld erzwungen und gefordert - kommt nur ein staatlich betriebener Akteur in Frage, der Wirtschaftsspionage will, kein schnelles Lösegeld.
An Stelle der Niederländer hatte ich den chinesischen Botschafter einbestellt.

Der Chinese hat gesetzlich ein Recht auf 15 Minuten Mittagspause. Kein Witz. Eine gesetzlose Verbrecherbande würde sich nicht darum scheren, staatliche Mitarbeiter würden doch sicher darauf bestehen, oder? 😁

Die Beweislage ist erdrückend

 

[Boimler]

Ich finde die sacje mit den Bruteforce attacken spannend.
Ich meine, wie schlecht muss die IT Sicherheit sein das sowas überhaupt heutzutage noch möglich ist.

Gibt genug Beispiele für begrenzte Kennwortlänge in Kombination mit hohen Anforderungen an Sonderzeichen und anderen Schnickschnack. Führt meiner Erfahrung nach dazu, dass alle PWs gleich lang und gleich dämlich sind. Da muss man im Grunde nur gut raten.

 

[Tulol]

Gibt genug Beispiele für begrenzte Kennwortlänge in Kombination mit hohen Anforderungen an Sonderzeichen und anderen Schnickschnack. Führt meiner Erfahrung nach dazu, dass alle PWs gleich lang und gleich dämlich sind. Da muss man im Grunde nur gut raten.

OK, aber sollten accounts nach mehrfacher falacheingabe nicht autom. gesperrt sein?

 

[Pummeluff]

An Stelle der Niederländer hatte ich den chinesischen Botschafter einbestellt.
…
Die Beweislage ist erdrückend

Der chinesische Botschafter würde dann bestimmt ein Bild von einem umgefallenen Reissack mitbringen bei der Einbestellung.

Erinnert mich irgendwie an den Hackerparagraph. Man verbietet in Deutschland die Hackertools, und schon ist das Internet wieder sicher.

Der Versäumnis ist hier eindeutig bei NXP zu suchen. Wenn eine IT-Firma nicht in der Lage ist, ihre eigene Infrastruktur nach außen hin abzusichern, läuft was ziemlich schief.

 

[BeBur]

Eine gesetzlose Verbrecherbande würde sich nicht darum scheren

Da bin ich nicht ganz so überzeugt von, btw.. Soweit ich weiß sind solche Vereinigungen heute ähnlich zu normalen Unternehmen strukturiert, jedenfalls die großen/professionellen.

 

[Hornblower]

Sorry, aber für mich is da nix normal.

Es gab mal eine bekannte Persönlichkeit, die hat dafür einen erklärenden Satz kreiert- "Die Banalität des Bösen".

 

[Scobi]

Hackergruppen machen keine puntliche Mittagspausen. Ordentliche Unternehmen hacken nicht...also, bleiben eigentlich nur die staatliche Unternehmungen übrig.

 

[m1key_SAN]

möchte nicht in der Haut der IT Sec von NXP stecken ...

Möchte keiner

Wer eine gesonderte, kleine Gruppe an IT-Sec Stellen hat, die neben Dev und Ops arbeiten, kann fast nichts bewirkt werden. An der Stelle hat IT-Sec meist nur beratende, kontrollierende Funktion und wird von allen als Blockade wahrgenommen

Besser könnte man es nicht beschreiben, Sicherheit wird immer als störender Punkt gesehen, welcher den produktiven Workflow stört!
IP Protection und Awareness ist dann ein nicht so im Kopf verankert.

 

[usernamehere]

Richtig professionell abgezogen. So richtig mit Mittagspause, Wochenende und Ferien, da muss ich schon etwas schmunzeln

 

[Gnageseil]

Mittagspause muss sein

 

[Axonteer]

Ich weis, das ist jetzt nicht so ganz anständig, aber bei Textstelle "hacken zu Bürozeiten" musste ich doch etwas schmunzeln
Zeigt mal wieder wie Professionalisiert das ganze mitlerweile ist.

 

[fdsonne]

Gerade Zugriffsmuster, die nicht zu lokalen Arbeitszeiten passen sind ja vergleichsweise simpel feststellbar. Klar können sich Angreifer darauf einstellen, aber in diesem Fall hat das nachträgliche Sichten von Logs ja Muster festgestellt..

Die Frage ist eher, ob das Zugriffsmuster auch als solches erkennbar ist, wenn man nicht den Vergleich hat. Sprich findet ein Analyse Tool ein Zugriffsmuster und erkennt, dass das nicht legitim ist, wenn es gar keinen Verdacht gibt, dass das nicht normal sein könnte?

Btw. ist da auch noch ein Datenschutzthema zu beachten. Logfiles in der Form auszuwerten, dass Zugriffszeiten protokolliert und ausgewertet werden ist Datenschutzrechtlich durchaus ein Problem. Sicher mit Zustimmung der MA auf diese Auswertung möglich. Aber ich kenne kein Unternehmen, was das macht, ehrlich gesagt...

Komisch ist das, nach den Berichten die nach außen gedrungen sind, wurden u.a. Passwörter angegriffen.

Solchen Berichten kann man üblicherweise nicht "trauen" - vor allem wenn sie x-fach durch die Presse gehen.
Sieht man auch sehr schön hier im Artikel, da wird alles in einem Topf geworfen und möglichst reißerisch beschrieben.
"Dabei seien unter anderem E-Mail-Postfächer und Chipdesigns abgeflossen." -> das geht halt so überhaupt nicht unter einen Hut. Mail Postfächer ist was rein technisches. Egal was da an Daten drin ist. Während Chipdesigns was rein Wertebasiertes ist. Ein Chipdesign kann IN einem Mail Postfach liegen, eben weil da Daten per Mail gesendet wurden. Aber am Ende sind das zwei völlig getrennte paar Schuhe. Zwei Sachen aufzuführen ließt sich aber schwerer als nur eine.
Dass wer mit Zugangsdaten zum System an die Daten des zugehörigen Mail Postfachs kommt, ist selten ungewöhnlich. Dass aber mit Zugriff auf ein Mail Postfach Werte abgegriffen werden können, die mMn wahrscheinlich nicht per Mail übertragen wurden, hingegen schon...
Solche Berichte taugen mMn also nur für den initialen Aufhänger. Wer wissen will was phase ist, muss da tiefer nach graben.
https://web.archive.org/web/2021062...busing-cloud-services-to-fly-under-the-radar/
Das ist der Fox-IT Bericht, der mehr Details bereit hält. (aus 2021)

Naja und irgendwie gab es 2FA über Telefon und da haben die Angreifer wohl Telefonnummern im System ändern können (WTF?!)

Gegenfrage aus der Praxis - kennt der Supporter aus einem x-hunderte MA großen Unternehmen jede Stimme und jeden Hansel persönlich um zu verifizieren ob die Anfrage 100% authentisch ist?
2FA ist cool, aber es hat einen gewaltigen Pferdefuß. Nämlich den Selfservice bei "Vergessen" respektive den Support in der IT Abteilung, der dann agiert, wenn etwas nicht geht.

Konnte die Telefonnummer wirklich extern einfach so geändert werden? -> dem Bericht zur Folge nicht!
Sondern es gab ein Feld für eine alternative Telefonnummer, die dann dort rein geschrieben wurde. Das ganze hat offenbar den Sinn, dass bei Verlust oder Änderung der privaten Nummer dann der User selbst den Spaß um konfigurieren kann. Zumindest ließt es sich für mich so. Die Alternative dazu wäre, lass die Typen immer bei Problemen ins Office kommen und das vor Ort erledigen. Je nach Unternehmen ist das schlicht nicht machbar...

Btw. wurden die Credentials offenbar durch durchprobieren von bekannten Passwörtern erraten. Der Angriffsvector war wohl ein oder mehrere externe Cloud Anbieter. Und nach Findung von validen Zugängen gab es dann gezielt den Versuch über das VPN Portal. Gefolgt von der Nutzung einer internen Citrix Installation gefolgt von einer Rechteausweitung durch ausspähen von Credentials administrativer Accounts usw. usf.

 

[Ranayna]

Vor ein oder zwei Jahren machte ja eine hochkritische Exchange Luecke die Runde.
Schon damals hatte ich spekuliert das die richtig guten Angreifer sich einnisten, und unauffaellig bleiben um nicht aufzufallen.

Taete mich nicht wundern wenn sowas ausgenutzt wurde, und es stellt sich die Frage welche Zeitbomben da noch ticken.