Op het Black Hat-beveiligingsconferentie hebben onderzoekers van het Taiwanese cybersecuritybedrijf CyCraft geconstateerd dat Chinese hackers vergaande informatie van Taiwanese chipbedrijven hebben weten buit te maken over een periode van twee jaar. Dat schrijft het Amerikaanse Wired.
Dezelfde vermeend groep hackers hebben eerder van CyCraft de naam Chimera gekregen. Nieuwe informatie heeft wijst uit dat ze zich op het Chinese vaste land bevonden en dat ze verbonden zijn met de hackersgroep Winnti, dat ook wel bekendstaat als Barium en Axiom. Winnti zou door de Chinese overheid gesponsord worden, en ook de nieuw ontdekte aanval zou in opdracht zijn van de Chinese overheid.
Chimera blijkt van zeven Taiwanese bedrijven intellectueel eigendom te hebben gestolen, Volgens CyCraft-onderzoeker Chung-Kuan Chen gaat het om diefstal op wholesale-schaal, dat 'het vermogen van een corporatie om zaken te doen fundamenteel beschadigt'. Het beveiligingsbedrijf noemt de actie 'Operation Skeleton Key', doordat er gebruik is gemaakt van een skeleton key injector. Dit is in feite een 'master key', in deze context een wachtwoord dat voor elk account in een bepaald domein toegang geeft. Daardoor is de hacktechniek geschikt om te gebruiken om zoveel mogelijk data buit te maken.
De blootgelegde netwerken zouden in enige mate gebruikt zijn geweest via vpn's, hoewel het niet duidelijk is of er inloggegevens zijn gebruikt voor de vpn's, of dat beveiligingskwetsbaarheden in de diensten zelf zijn gebruikt. Met een custom versie van de tool Cobalt Strike is de eerste malware geplaatst, dat dezelfde bestandsnaam had als een updatebestand van Google Chrome. Ook is een command-and-controlserver met Microsoft of Google als host gebruikt om de communicatie minder opvallend te maken. Waar mogelijk werden gestolen inloggegevens en legitieme technieken gebruikt om dieper in het netwerk door te dringen, in plaats van om malware te installeren op apparaten waarmee de digitale identiteit van de hackers mogelijk bloot zou komen te liggen.
De CyCraft-onderzoekers hebben de cloudgegevens kunnen doorzoeken, waar een 'cheat sheet' in is gevonden met de versimpelde Chinese karakters die op het Chinese vasteland worden gebruikt, en niet de traditionele Chinese karakters die veel gebruikt worden in Taiwan. Ook hadden de hackers een ritme dat regulier is voor mensen in Beijing, dat bovendien aangehouden blijkt te worden door hackers die eerder de Taiwanese overheid hebben aangevallen.
Wired schrijft dat er onder andere broncodes, software development kits en chipontwerpen in handen van de hackers zijn gevallen. Om welke specifieke bedrijven het gaat is niet bekend, maar 'praktische de gehele Taiwanese chipindustrie is geplunderd', verklaarden de onderzoekers aan Wired. De kans is dus groot dat het ook in enige vorm om Taiwans chip-paradepaardje TSMC gaat. De locatie van een aantal van deze bedrijven zou zich in Hsinchu Industrial Park bevinden. Onder andere TSMC heeft zijn hoofdkantoor in Hsinchu Science Park, een aantal kilometer verderop.
De hacks zouden volgens CyCraft onderdeel kunnen zijn van een groter plaatje. Het door China benijde dochter-eiland heeft namelijk erg veel kennis over chiptechnologie, deze kennis kan China uiteraard goed gebruiken. Bovendien is het een stuk gemakkelijker om kwetsbaarheden te ontdekken in chips als je de schematische weergaven van producten goed begrijpt.
Bron: Wired
