In een grootscheepse digitale aanval hebben Chinese e-krakers de halfgeleiderindustrie op Taiwan belaagd en veel waardevolle informatie gestolen zoals broncodes, chipontwerpen en programmatuurontwikkelingshulpmiddelen. Zijn de vasteland-Chinezen zich aan het voorbereiden op de verovering van Formosa?
Al jaren wordt het eiland bestookt door e-krakers van het vasteland, die, naar men vermoedt, worden aangestuurd (en betaald) door de Chinese overheid. Het Taiwanees beveiligingsbedrijf CyCraft heeft nu onderzocht hoe een enkele kraakgroep is binnengedrongen in een van de belangrijkste sectoren op het eiland: de halfgeleiderindustrie. Het bedrijf deed daar een boekje over open op de jongste Black Hat-videoconferentie.
Ten minste zeven Taiwanese chipsfabrikanten waren slachtoffer van de groep geweest in de laatste twee jaar. De krakers gebruikten daarvoor eenzelfde type aanval (‘skeleton key injector’ oftewel een loperinjector) bedoeld om zo veel mogelijk gevoelige informatie te stelen.
Eerder had CyCraft die groep Chimera gedoopt. Die zou banden hebben met China en ook met de door de Chinese staat ondersteunde groep Winnti (ook Barium of Axiom genoemd). “Dit is een door de overheid gestuurde aanval die probeert de status en macht van Taiwan te manipuleren”, zegt Chad Duffy van CyCraft. Dat soort operaties vernietigt in feite de bestaansmogelijkheid van een bedrijf. “Het is een strategische aanval op een hele industrie”, voegt zijn collega Chun-Kuan Chen daar aan toe. Om welke bedrijven het gaat wilde CyCraft niet vertellen.
VPN’s
Volgens de onderzoekers verliepen de digitale inbraken in een aantal gevallen via virtuele particuliere netwerken (vpn’s). Onduidelijk was of de krakers daarbij gebruik maakten van handlangers of van kwetsbaarheden in de vpn-servers. De aanvallers verpakten hun malware, een aangepaste versie van Cobalt Strike, in een bijwerkbestand van Google Chrome. Waar mogelijk gebruikten de inbrekers gestolen codes en mogelijkheden voor de normale gebruikers van het belaagde netwerk om verder in dat netwerk door te dringen om zo min mogelijk sporen achter te laten.
De belangrijkste strategie van de inbrekers was echter het gebruik om domeinservers te manipuleren. Die regelen toegang tot een netwerk. Met een zelf gemaakt programma, een combinatie van inbreekprogramma’s als Dumpert en Mmikatz, creëerden de krakers een gebruiker die overal op het netwerk toegang had. Duffy: “Net een loper waarmee je overal binnenkomt.” (skeleton key = loper). Overigens publiceerde het bedrijf al in april de meeste feiten en vindingen van deze operatie Loper (Skeleton Key) genoemde grootscheepse aanval.
CyCraft weet niet wat er met de gestolen waar is gebeurd of gebeurt. Het zou kunnen dat China de eigen halfgeleiderindustrie een steun in de rug wil geven met de gestolen waar. De vraag is of die Chinese bedrijven daarmee wegkomen. Volgens Duffy is de aanval bedoeld om de Taiwanese industrie te treffen. “Het lijkt er op alsof ze de machtsverhoudingen willen veranderen. Als alle intellectuele eigendom in de handen van China is dan heeft dat land een hoop meer macht.” Grote vraag is natuurlijk hoe goed is dat soort informatie beveiligd op Taiwan en overigens denk ik dat bedrijven op Taiwan hun gestolen producten wel zouden herkennen als die op de markt kwamen (of ben ik erg naïef?).
Bron: Wired