Een groep vanuit China opererende cyberspionnen had meer dan twee jaar ongemerkt toegang tot het netwerk van de Nederlandse chipfabrikant NXP, zo laat NRC vandaag weten. De aanvallers wisten door middel van accounts van medewerkers binnen te dringen en hadden het voorzien op chipontwerpen en ander intellectueel eigendom. Systemen van NXP zouden van eind 2017 tot begin 2020 zijn gecompromitteerd.

In eerste instantie wisten de aanvallers toegang tot het bedrijfsnetwerk te krijgen met reguliere accounts van medewerkers. De gebruikte accountgegevens waren afkomstig uit eerdere datalekken bij andere websites en online diensten. Vervolgens wisten de aanvallers door middel van een bruteforce-aanval toegang tot het VPN-netwerk te krijgen. NXP maakt gebruik van tweefactorauthenticatie, waarbij de extra code via de telefoon wordt verkregen. De aanvallers weten dit te omzeilen door de telefoonnummers te wijzigen.

Zodra er toegang tot een systeem is verkregen bewegen de aanvallers zicht lateraal door het netwerk, waarbij ze aangetroffen gevoelige data stelen. Op basis van aangetroffen logbestanden blijkt dat de aanvallers elke paar weken komen kijken of erbij NXP nieuwe data is te vinden, en of nog meer gebruikersaccounts en delen van het netwerk kunnen worden gecompromitteerd.

Transavia

De inbraak bij NXP komt aan het licht na onderzoek bij luchtvaartmaatschappij Transavia. Uit loggegevens blijkt dat de aanvallers die bij Transavia inbraken ook verbinding maken met ip-adressen in Eindhoven, waar het hoofdkantoor van NXP staat. Securitybedrijf Fox-IT dat de inbraken onderzoekt publiceert in 2021 deze blogposting over de aanvallen, maar maakt daarbij niet de namen van de getroffen bedrijven bekend. Wel staat daar dat de aanvallers gebruikersnamen en wachtwoorden afkomstig uit eerdere datalekken gebruiken bij aanvallen om toegang tot accounts te krijgen.

"Na het verkrijgen van toegang tot een geldig account, gebruiken ze dit account om toegang tot het VPN-netwerk, Citrix of andere remote service te krijgen die toegang tot het netwerk van het slachtoffer biedt. Informatie over deze remote services is afkomstig uit mailbox, clouddrive of andere clouddienst die via het gecompromitteerde account toegankelijk is", zo laat Fox-IT weten. In een reactie stelt NXP dat de inbraak niet voor 'materiële schade' voor de bedrijfsvoering zorgde.