Taiwanese chipindustrie geplunderd door hackers
Een geavanceerde hackersgroepering heeft diverse chipproductiebedrijven in Taiwan met succes aangevallen. Daarbij is zoveel mogelijk intellectueel eigendom buitgemaakt, waaronder chipontwerpen, broncode en software-ontwikkelkits (SDK's). De datadieven zouden beruchte Chinese staatshackers zijn, die met zelf gecombineerde hacktools zich via domain-controllers hebben voorzien van toegang tot alle gebruikersaccounts om daarlangs hun slag te slaan.
© Micron
Micron
De vergaande en fundamentele datadiefstal is uit de doeken gedaan door securitybedrijf CyCraft op de Black Hat-conferentie. Die bijeenkomst voor hackers, ondanks de naam bevolkt door white hat hackers, wordt vanwege de coronacrisis als online-event gehouden dit jaar. Het Taiwanese CyCraft heeft een deel van zijn bevindingen al in april dit jaar bekend gemaakt, maar toen zonder er veel ruchtbaarheid aan te geven. Op Black Hat is nu meer verteld.
Terughacken
De toeschrijving aan China is onder meer gedaan op basis van werktijden en -dagen van de hackers, weet Wired te melden. Daarnaast is er het gebruik van vereenvoudigd Chinees in een hackhandleiding die CyCraft in handen heeft gekregen door een command&control-server van de aanvallers te traceren en te hacken. Verder zijn er door samenwerking met inlichtingendiensten links gelegd met eerdere aanvallen op overheidsinstanties in Taiwan.
In het Chimera APT Threat Report dat in april al is gepubliceerd, beschrijven beveiligingsonderzoekers van CyCraft hoe hackersgroep Chimera twee jaar lang zorgvuldig en veelvuldig chipbedrijven heeft gehackt. Het merendeel van deze aanvallen was gericht op de Taiwanese chipindustrie, die een belangrijke rol speelt als producent voor bedrijven wereldwijd. De reeks aanvallen heeft de naam Operarion Skeleton Key gekregen, vanwege het gebruik van een digitale loper waarmee de hackers zich toegang hebben verschaft tot gebruikersaccounts binnen bedrijven die ze op de korrel namen.
Onder de radar
Die loper (een skeleton key) is aangemaakt met unieke malware voor het manipuleren van accounts. De Chimera-groep heeft die software zelf gemaakt met gebruik van code uit hackingtools Mimikatz en Dumpert (niet te verwarren met de gelijknamige Nederlandse videosite). De zogeheten SkeletonKeyInjector-malware is ingezet op domain controllers om daarna met legitieme, bestaande gebruikersaccounts verder te kunnen gaan met het binnendringen van bedrijven voor het stelen van informatie. Hierdoor bleef hun malafide werk onder de radar van securityproducten die op verdachte software monitoren.
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee