Der niederländische Chipdesigner NXP war wohl zwei Jahre lang durch mutmaßlich chinesische Hacker infiltriert. Laut Berichten sollen die Hacker der mutmaßlich chinesischen Gruppe Chimera zwischen 2017 und 2020 in den Netzwerken der Firma unterwegs gewesen sein und auch Chipdesigns geklaut haben. Aufgefallen ist das Ganze wohl erst durch einen anderen Hack, bei dem Spuren auf NXP zurück wiesen. Eine Untersuchung ergab dann, dass NXP gehackt worden war.
Anzeige
NXP Semiconductors ist ein niederländischer Halbleiterhersteller. NXP ist der im Jahr 2006 ausgegliederte Halbleiterbereich der Royal Philips. NXP bietet Halbleiter und Systemlösungen für den Automobilmarkt, für Fernseher, Set-Top-Boxen, Mobiltelefone sowie Sicherheitslösungen für Bankkarten, elektronische Ausweise, Reisepässe und Gesundheitskarten. Chips mit MIFARE-Technik werden in zahlreichen Verkehrssystemen und Veranstaltungszentren weltweit eingesetzt.
Da ist es schon relevant, wenn sich Hacker quasi unbemerkt in den Netzwerken des Unternehmens tummeln. Der Fall aus den Jahren 2017 bis 2020 wurde von der niederländischen Zeitung NRC veröffentlicht (befindet sich hinter einer Paywall – Golem hat es in diesem deutschsprachigen Beitrag aufgegriffen).
Den Hackern ist es wohl gelungen, Benutzerkonten zu hacken, über die sich NXP-Angestellte per VPN mit dem Firmennetzwerk verbunden haben. Die Zugangsdaten sollen in einer Kombination aus Informationen aus früheren Datenlecks und Brute-Force-Angriffen auf Passwörter ermittelt worden sein. Golem schreibt, dass auch eine Zwei-Faktor-Authentifizierung über eine mit dem jeweiligen Konto verbundene Rufnummer ausgehebelt werden konnte. Details fehlen aber, wie das möglich war.
Nach Zugriff auf Postfächer und Konten verschlüsselten die Hacker Informationen aus dem NXP-Netzwerk und speicherten diese auf Cloud-Speicher wie Onedrive, Google Drive und Dropbox. Die Hacker sollen alle paar Wochen versucht haben, neue Daten abzuziehen und neue Konten zu infiltrieren. Aufgeflogen ist das Ganze nach einem Hackerangriff auf die Fluggesellschaft Transavia. Eine Analyse ergab, dass bei diesem Hack Verbindung zu IP-Adressen in Eindhoven hergestellt wurden. Dort sitzt aber die Firma NXP mit ihrem Hauptsitz, was eine interne Untersuchung auslöste. Dabei wurde der Hack im NXP-Netzwerk aufgedeckt.
Anzeige
Zugewiesen wird der Angriff der chinesischen Gruppe Chimera – leitet sich von der Schadsoftware Chimearar ab. Das Passwort, mit dem abgegriffene Daten verschlüsselt wurden, lautet fuckyou.google.com – ebenfalls typisch für die Gruppe. Die log-Dateien, die man fand, zeigten ein Zugriffsmuster, welches der chinesischen Zeitzone – einschließlich einer Mittagspause – entsprach. Und Sonntags sowie zu chinesischen Ferienzeiten arbeiteten die Hacker ebenfalls nicht. NXP hat seine Kunden nicht informiert, das "es spezieller Kenntnisse bedürfe, um die Halbleiter zu entwickeln". Diese Daten seien aber an anderen Orten aufbewahrt worden, heißt es.
Anzeige
Bei uns ist es so, oder wurde so bestimmt, dass VPN Zugangsdaten = AD Zugangsdaten (user / kennwort) :-) Halt noch "durch 2FA gesichert" :-) Lernen durch Schmerzen?
Heise (https://heise.de/-9539891) schreibt dazu:
"NXP schütze seine Systeme zwar mit Zwei-Faktor-Authentifizierung. Den Angreifern sei es aber gelungen, diese zu umgehen, indem sie die Telefonnummern für die Codezustellung geändert hätten."
Social Engineering beim Support?, ala: "ich hab eine neue Telefonnummer, kannst du die mal eben ändern?"
Und das ist niemandem aufgefallen? Wie war das ändern überhaupt möglich? Der harmlos scheinende Nebensatz deutet auf totales Desaster bei 2FA Umsetzung hin?
ggf. 2FA Fatigue Attack