image

'Zero day-lek in VPN-verbinding gebruikt bij ASML-hack'

maandag 30 november 2015, 11:13 door Redactie, 1 reacties

De inbraak op het netwerk van chipfabrikant ASML dat het bedrijf eerder dit jaar bevestigde begon met een zero day-lek in een VPN-verbinding bij een moederbedrijf in China, zo liet het KRO-NCRV-televisieprogramma Brandpunt Reporter gisteren weten.

De aanval werd uiteindelijk opgemerkt door een ander moederbedrijf, het Amerikaanse technologiebedrijf Cymer. De monitoringssystemen van dit bedrijf slaan op 4 februari alarm als er van buitenaf wordt geprobeerd om in te loggen op het netwerk, waarbij er tot vijf keer toe een verkeerd wachtwoord wordt ingevoerd. De onderzoekssporen wijzen naar het moederbedrijf van Cymer, het Nederlandse ASML in Veldhoven.

De aanvallers bleken een bestaande accountnaam van een medewerker te gebruiken. Omdat het account dat de aanvallers probeerden ook in gebruik was bij ASML in Veldhoven waarschuwt Cymer het moederbedrijf. Volgens Brandpunt Reporter houdt ASML de inbraak op de IT-systemen in eerste instantie ‘onder de pet’, maar het nieuws lekt uiteindelijk toch uit. Uit onderzoek blijkt dat de inbraak bij het bedrijf via een andere dochteronderneming is begonnen, namelijk Brion Technologies in China. De aanvallers zouden een zero day-lek in een VPN-verbinding van het bedrijf hebben gebruikt om toegang tot het netwerk te krijgen. Eenmaal binnen bij Brion Technologies worden de gebruikersnamen en wachtwoorden van werknemers gestolen.

Met de inloggegevens krijgen de aanvallers vervolgens toegang tot het netwerk van ASML. Daar zoeken ze naar pdf- en doc-bestanden. Verschillende bronnen laten tegenover Brandpunt Reporter weten dat ook de AIVD bij het onderzoek naar de ASML-hack is betrokken, maar dat wil de inlichtingendienst niet bevestigen of ontkennen. In een verklaring eerder dit jaar stelde ASML dat de aanvallers bij de inbraak geen waardevolle informatie hebben gestolen, maar volgens Brandpunt Reporter hadden de aanvallers eerder dit jaar drie dagen volledige toegang tot het netwerk en heeft ASML geen idee of er bedrijfsgevoelige gegevens zijn buitgemaakt, omdat de aanvallers nauwelijks sporen achterlieten.

Reacties (1)
30-11-2015, 14:22 door Anoniem
Dit is wel een erg suggestieve uitzending van Brandpunt Reporter. Een aantal zaken worden voor de leek nog wel begrijpelijk gemaakt maar het is onzinnig om dit allemaal te koppelen aan ASML. Een inbraak waarvan niemand ooit het fijne zal weten, waarvan de omvang verder niet bewezen kan worden, wordt gebruikt/misbruikt om bedrijfsspionage aan het licht te brengen.
Ik ben wel overtuigd dat bij veel bedrijven die interessante kennis bezitten wordt ingebroken of dat deze op dit moment criminelen (spionnen) binnen hebben zitten. Dat zal ook voor ASML gelden.
Het item op zich geeft wederom aan dat preventie gevolgd moet worden door detectie en response. De detectie moet wel beter worden en de response moet veel sneller plaatsvinden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.