Hackers hebben drie jaar lang toegang tot een Amerikaans Defensiebedrijf gehad dat geavanceerde wapenapparatuur ontwikkelt, mede doordat het bedrijf de infecties en de eigen beveiliging niet serieus nam. Het bedrijf in kwestie is QinetiQ, dat geheime satellieten, drones en software voor Amerikaanse elite teams in Afghanistan en het Midden-Oosten bouwt.

Het Defensiebedrijf had de eigen verdediging niet op orde waardoor aanvallers eind 2007 toegang tot bedrijfsgegevens en netwerken kregen. In dat jaar werd QinetiQ door de Naval Criminal Investigative Service gewaarschuwd dat er van de laptops van twee werknemers vertrouwelijke informatie werd gestolen.

De dienst had het datalek per toeval tijdens het onderzoek naar een ander incident ontdekt. QinetiQ schakelde een forensisch expert in om het onderzoek naar de inbraak uit te voeren, maar die kreeg nauwelijks de tijd en informatie om zijn werk goed te doen. Daardoor concludeerde de expert dat de volledige omvang niet bij het bedrijf bekend was.

Toegang
Begin januari 2008 bleek dat de aanvallers nog steeds toegang hadden, toen er werd geprobeerd om vanaf het QinetiQ-netwerk NASA te hacken. Ook aanvallen die later dat jaar plaatsvonden werden als geïsoleerde incidenten behandeld. De hackers gingen grondiger te werk, aldus Bloomberg.

In de eerste 2,5 jaar werden meer dan 13.000 interne wachtwoorden verzameld en allerlei servers leeggehaald met informatie over hoe het bedrijf georganiseerd was. Hoe meer onderzoeken er werden ingesteld hoe meer beveiligingsproblemen er werden ontdekt.

In 2008 ontdekte een security team dat het interne netwerk via een onbeveiligde WiFi-verbinding vanaf een parkeerplaats toegankelijk was. Tijdens dat onderzoek werd ook duidelijk dat Russische hackers al meer dan 2,5 jaar lang bedrijfsgeheimen wisten te stelen via de computer van een secretaris die met malware was geïnfecteerd. Alle informatie werd direct naar een server in Rusland gestuurd.

Broncode
Naast de Russische hackers zouden ook cyberspionnen uit China actief zijn op het netwerk. Alleen in 2009 wisten aanvallers 251 dagenlang onopgemerkt gegevens van 151 machines, waaronder laptops en servers, te stelen. Het ging onder andere om broncode en engineering gegevens.

De informatie werd in kleine hoeveelheden naar buiten gestuurd om detectie te voorkomen. In totaal werd 20 gigabyte buitgemaakt voordat de infiltratie werd opgemerkt. De aanvallers waren nog niet klaar met het bedrijf. In maart 2010 wisten ze met een gestolen wachtwoord van een netwerkbeheerder in te loggen.

Ze gebruikten een remote access systeem waarbij alleen een wachtwoord was vereist. QinetiQ was eerder gewaarschuwd om twee-factor authenticatie toe te passen, maar de aanbeveling werd genegeerd. Gedurende een periode van 4 dagen doorzochten de aanvallers 14 servers.

HBGary
QinetiQ schakelde uiteindelijk twee beveiligingsbedrijven in om het onderzoek naar de aanvallen uit te voeren, maar zowel de coördinatie van de bedrijven als de samenwerking verliep stroef. Eén van de ingehuurde bedrijven was HBGary, dat zelf werd gehackt. Door die hack en de publicatie van duizenden e-mails, is ook informatie over de situatie bij QinetiQ naar buitengekomen.

Daaruit blijkt dat de aanvallers volledige toegang tot bijna het gehele netwerk en machines van topfunctionarissen hadden. Uiteindelijk dachten de twee beveiligingsbedrijven in juni 2010 alle malware te hebben verwijderd.

Het was de FBI in september van dat jaar die QinetiQ tipte dat er weer een lek was. Beide beveiligingsbedrijven werden wederom ingeschakeld en ontdekten opnieuw malware, waaronder exemplaren die al sinds 2009 actief waren.

Software
Werknemers van QinetiQ waren echter boos over de beveiligingssoftware van HBGary, die de computers vertraagde. Met toestemming van het IT-personeel mochten werknemers de software dan ook verwijderen.

Ondanks de problemen met de beveiliging wist QinetiQ in mei 2012 een contract van bijna 5 miljoen dollar te winnen voor het beschermen van de kritieke Amerikaanse infrastructuur tegen cyberaanvallen.