Een groep vanuit China opererende cyberspionnen had meer dan twee jaar ongemerkt toegang tot het netwerk van de Nederlandse chipfabrikant NXP, zo laat NRC vandaag weten. De aanvallers wisten door middel van accounts van medewerkers binnen te dringen en hadden het voorzien op chipontwerpen en ander intellectueel eigendom. Systemen van NXP zouden van eind 2017 tot begin 2020 zijn gecompromitteerd.
In eerste instantie wisten de aanvallers toegang tot het bedrijfsnetwerk te krijgen met reguliere accounts van medewerkers. De gebruikte accountgegevens waren afkomstig uit eerdere datalekken bij andere websites en online diensten. Vervolgens wisten de aanvallers door middel van een bruteforce-aanval toegang tot het VPN-netwerk te krijgen. NXP maakt gebruik van tweefactorauthenticatie, waarbij de extra code via de telefoon wordt verkregen. De aanvallers weten dit te omzeilen door de telefoonnummers te wijzigen.
Zodra er toegang tot een systeem is verkregen bewegen de aanvallers zicht lateraal door het netwerk, waarbij ze aangetroffen gevoelige data stelen. Op basis van aangetroffen logbestanden blijkt dat de aanvallers elke paar weken komen kijken of erbij NXP nieuwe data is te vinden, en of nog meer gebruikersaccounts en delen van het netwerk kunnen worden gecompromitteerd.
"Na het verkrijgen van toegang tot een geldig account, gebruiken ze dit account om toegang tot het VPN-netwerk, Citrix of andere remote service te krijgen die toegang tot het netwerk van het slachtoffer biedt. Informatie over deze remote services is afkomstig uit mailbox, clouddrive of andere clouddienst die via het gecompromitteerde account toegankelijk is", zo laat Fox-IT weten. In een reactie stelt NXP dat de inbraak niet voor 'materiële schade' voor de bedrijfsvoering zorgde.
Deze posting is gelocked. Reageren is niet meer mogelijk.