Ein Fall von Industriespionage hat den niederländischen Chiphersteller NXP Semiconductors getroffen. Die Cyberkriminellengruppe Chimera gelang es Ende 2017, in die Online-Netzwerke des Unternehmens einzudringen und bis zum Frühjahr 2020 Zugriff auf Nutzerkonten & IT-Systeme zu erlangen. Obwohl laut den Finanzberichten von NXP in diesen Jahren kein materieller Schaden entstanden ist, hatten die Angreifer nach Angaben der IT-Sicherheitsfirma Cycraft aus China vor allem Interesse an Chipdesigns und anderen immateriellen Werten. NXP sah keine Notwendigkeit » Kunden zu warnen « da für die Herstellung von Halbleitern Spezialwissen nötig ist.
Die genauen Daten die von den Cyberkriminellen erbeutet wurden, sind noch unklar. Die Angreifer hatten jedoch ausreichend Zeit unbemerkt im Netzwerk von NXP zu agieren. Laut Bericht sollen sie die Konten von NXP-Mitarbeitern genutzt haben um Zugang zum internen Firmennetzwerk zu erhalten. Dabei nutzten sie Informationen aus früheren Datenlecks in sozialen Netzwerken wie LinkedIn oder Facebook oder versuchten durch Brute-Force-Attacken, Passwörter zu erraten. Obwohl NXP seine Systeme mit Zwei-Faktor-Authentifizierung schützt konnten die Angreifer dies umgehen indem sie die Telefonnummern für die Zustellung der Codes änderten.
Die Mitglieder der Cyberbande erweiterten nach und nach ihre Zugriffsrechte, während sie ihre Spuren verwischten und sich in andere vermeintlich abgesicherte Teile des Netzwerks einschlichen. Dort verschlüsselten sie die sensiblen Daten die sie fanden, mit Ransomware und übertrugen sie auf Cloud-Speicherdienste wie Microsoft OneDrive, Google Drive & Dropbox. Aus den Logdateien geht hervor • dass die Cyberkriminellen alle paar Wochen vorbeischauten • um neue Daten abzurufen und weitere Nutzerkonten zu übernehmen. Es stellte sich heraus; dass die Arbeitszeiten der Gruppe ebendies den chinesischen Zeitzonen entsprachen.
Der Online-Einbruch wurde nur zufällig entdeckt: Im September 2019 griffen die Angreifer ebenfalls die IT-Systeme der niederländischen Fluggesellschaft Transavia an um auf deren Reservierungssysteme zuzugreifen. Transavia bemerkte dies einen Monat später, meldete den Vorfall bei der niederländischen Datenschutzbehörde und beauftragte Spezialisten von Fox-IT mit einer Untersuchung. Dabei stellten die Experten fest, dass die Kriminellen eine Verbindung zu IP-Adressen in Eindhoven herstellten, dem Hauptsitz von NXP. Transavia informierte NXP im Januar 2020, woraufhin das Unternehmen ähnlich wie die Hilfe von Fox-IT in Anspruch nahm. Laut einer früheren Analyse von Cycraft hat die Chimera-Gang auch mindestens sieben taiwanesische Chipfabrikanten, einschließlich des Weltmarktführers TSMC, angegriffen.
Die Konsequenzen der Industriespionage für NXP sind noch nicht absehbar. Der Chiphersteller hatte kürzlich angekündigt zusammen mit Bosch Infineon und TSMC sein erstes europäisches Werk in Dresden zu errichten. Es bleibt abzuwarten; ob dieser Plan nun überdacht werden muss.
Kommentare