Chinesische Cyberkriminelle hatten jahrelang Zugriff auf Chiphersteller NXP
Die in China verortete Cybergang Chimera soll zwischen 2017 und 2020 Zugang zu NXP-Netzwerken gehabt und vor allem Chipdesigns in die Finger bekommen haben.
(Bild: antb/Shutterstock.com)
Ein schwerer Fall von Industriespionage macht dem Chiphersteller NXP Semiconductors zu schaffen. Die Cyberkriminellengruppe Chimera sei bereits Ende 2017 in die Online-Netzwerke des niederländischen Halbleiterkonzerns eingebrochen und habe bis zum Frühjahr 2020 Zugriff auf Nutzerkonten und damit verknüpfte IT-Systeme gehabt, berichtet die Amsterdamer Zeitung NRC. Materiellen Schaden sollen die Angreifer, die die IT-Sicherheitsfirma Cycraft in China verortet, laut den Finanzberichten von NXP für die einschlägigen Jahre nicht verursacht haben. Laut NRC sollen sie es aber hauptsächlich auf Chipdesigns und andere immaterielle Werte abgesehen haben. Das Unternehmen habe es nicht für nötig erachtet, Kunden zu warnen, da für die Herstellung von Halbleitern jenseits der Baupläne Spezialwissen nötig sei.
2FA ausgehebelt: Telefonnummern geändert
Welche Daten die Cyberkriminellen sonst noch abgriffen, ist bislang unklar. Sie hatten dem Bericht zufolge jedenfalls ausgiebig Zeit, sich in den Netzen von NXP unbemerkt zu bewegen. Die Angreifer sollen Konten von NXP-Mitarbeiter genutzt haben, um sich in das interne Firmennetzwerk einzuloggen. Sie verschafften sich die erforderlichen Zugangsinformationen der Zeitung zufolge aus früheren Datenlecks bei sozialen Netzwerken wie LinkedIn oder Facebook oder setzten auf Brute-Force-Attacken, um Passwörter zu erraten. NXP schütze seine Systeme zwar mit Zwei-Faktor-Authentifizierung. Den Angreifern sei es aber gelungen, diese zu umgehen, indem sie die Telefonnummern für die Codezustellung geändert hätten.
Vom ersten geknackten Account aus sollen die Mitglieder der Cyberbande nach und nach ihre Zugriffsrechte erweitert, parallel ihre Spuren verwischt und sich in weitere vermeintlich abgesicherte Teile der Netzwerke eingeschlichen haben. Dort verschlüsselten sie die gefundenen sensiblen Daten NRC zufolge mit einer Ransomware und übertrugen sie auf Cloud-Speicherdienste wie Microsoft OneDrive, Google Drive und Dropbox. Aus Logdateien sei erkennbar, dass die Cyberkriminellen alle paar Wochen vorbeischauten, um neue Daten abzugreifen und weitere Nutzerkonten zu kapern. Herauskristallisiert habe sich auch, dass die Arbeitszeiten der Gruppe genau den chinesischen Zeitzonen inklusive Mittagspause und Feiertagen entsprachen.
Heraus kam der Online-Einbruch nur zufällig: Im September 2019 nahmen Angreifer auch die IT-Systeme der niederländischen Fluggesellschaft und Transavia ins Visier, um auf deren Reservierungssysteme zuzugreifen. Die KLM-Tochter bemerkte dies einen Monat später, meldete den Vorfall bei der niederländischen Datenschutzbehörde und beauftragte Spezialisten von Fox-IT mit einer Untersuchung. Die Experten stellten dabei fest, dass die Kriminellen eine Verbindung zu IP-Adressen in Eindhoven herstellten, wo sich der Hauptsitz von NXP befindet. Transavia informierte den Chiphersteller im Januar 2020, der umgehend Fox-IT ebenfalls um Hilfe bat. Laut einer früheren Analyse von Cycraft griff die Chimera-Gang auch mehr oder weniger parallel mindestens sieben taiwanesische Chipfabrikanten inklusive TSMC an. Der Weltmarktführer kündigte im August an, sein erstes europäisches Werk in Dresden zusammen mit NXP, Bosch und Infineon bauen zu wollen.
(tiw)
