Связанная с Китаем кибершпионская хак-группа Chimera (она же G0114) более двух лет похищала данные из корпоративной сеть компании NXP, производящей полупроводниковые компоненты, которые используются в смартфонах, смарт-картах и электромобилях.
О взломе сообщило голландское новостное издание NRC Handelsblad, которое получило информацию от собственных источников, «знакомых с инцидентом». По информации издания, атака продолжалась с конца 2017 по начало 2020 года. На протяжении этого времени злоумышленники периодически получали доступ к почтовым ящикам сотрудников NXP и сетевым дискам в поисках разработок, связанных с чипами и другой интеллектуальной собственностью. Взлом был обнаружен только после того, как хакеров «застукали» в отдельной сети компании, которая лишь иногда подключалась к взломанным системам NXP. Подчеркивается, что подробности этого взлома держались в строжайшем секрете.
NXP — вторая по величине полупроводниковая компания в Европе после ASML и 18-й в мире производитель микросхем по рыночной капитализации.
Чипы компании используются, например, в смартфонах и часах Apple для работы механизмов безопасности связи ближнего радиуса, обнаружения несанкционированного доступа и аутентификации в Apple Pay. Также NXP поставляет чипы для карт MIFARE, используемых транспортными компаниями, FIDO-совместимых ключей безопасности и инструментов для передачи данных внутри сетей электромобилей.
В своей статье журналисты ссылаются на отчет, который был опубликован (а затем удален) ИБ-компанией Fox-IT. Отчет назывался «Злоупотребление облачными сервисами, чтобы оставаться незамеченными» (Abusing Cloud Services to Fly Under the Radar). В нем сообщалось, что группировка Chimera использовала облачные сервисы таких компаний, как Microsoft и Dropbox, для извлечения данных из сетей производителей полупроводников, в том числе неназванной европейской компании, которая пострадала от атаки в «начале четвертого квартала 2017 года». NRC заявила, что этой компанией была именно NXP.
«Закрепившись на первом компьютере шпионы постепенно расширяли свои права доступа, заметали следы и тайно пробирались в защищенные участки сети, — пишут журналисты NRC. — Они старались скрыть обнаруженные там конфиденциальные данные в зашифрованных архивах, которые извлекали через облачные сервисы для хранения данных, такие как Microsoft OneDrive. Согласно логам, найденным Fox-IT, хакеры появлялись каждые несколько недель, чтобы посмотреть, нет ли в NXP новых интересных данных и не нужно ли взломать новые учетные записи пользователей».
Отмечается, что компания NXP не предупредила своих клиентов или акционеров о взломе, лишь вскользь упомянув о произошедшем в годовом отчете за 2019 год. В нем говорилось следующее:
«Время от времени мы сталкиваемся с кибератаками, направленными на получение доступа к нашим компьютерным системам и сетям. Такие инциденты, как успешные, так и неуспешные, могут привести к хищению проприетарной информации и технологий, компрометации личной и конфиденциальной информации наших сотрудников, клиентов и поставщиков, а также нарушить нашу деятельность.
Например, в январе 2020 года нам стало известно о взломе некоторых наших систем. Мы предприняли ряд шагов по выявлению вредоносной деятельности и реализуем меры по исправлению ситуации, чтобы повысить безопасность наших систем и сетей. На момент составления данного документа мы не считаем, что этот взлом ИТ-систем оказал негативное влияние на наш бизнес или нанес какой-либо существенный ущерб. Однако расследование продолжается, и мы продолжим изучать объем и тип скомпрометированных данных. Невозможно гарантировать, что эта или любая другая утечка или инцидент не окажут существенного влияния на нашу деятельность и финансовые результаты в будущем».
По мнению некоторых ИБ-исследователей, тот факт, что представители NXP не сообщали клиентам об атаке, длившейся более двух лет, это серьезная проблема.
«Чипы NXP используются во многих продуктах, — пишет бывший сотрудник АНБ Джейк Уильямс. — Скорее всего, теперь злоумышленники знают о конкретных уязвимостях, о которых получала сообщения NXP и которые могут использоваться для взлома устройств, оснащенных этими чипами. И это при условии, что сами хакеры не внедрили туда бэкдоры. За 2,5 года это вполне реально».
Другой специалист, имя которого не раскрывается, в прошлом опубликовавший исследование, документирующее успешный взлом некоего популярного продукта, содержащего чипы NXP, так же выразил аналогичное удивление в беседе с журналистами издания ArsTechnica.
«Если китайские киберпреступники получили исходный код и аппаратные разработки производителя чипов, эта группировка сможет использовать этот исходный код, даже если он не слишком хорошо закомментирован и задокументирован. Для меня этот взлом — огромная проблема. Я удивлен, что NXP не сообщила об этом своим клиентам».
При этом представители NXP заявили журналистам, что сообщения NRC «очень устарели, поскольку [проблема] была рассмотрена еще в 2019 году». В компании подчеркнули, что еще в отчете за 2019 год сообщалось о компрометации некоторых ее ИТ-систем, но «после тщательного расследования мы решили, что этот инцидент не оказал существенного негативного влияния на наш бизнес».
В компании NXP заверили, что очень серьезно относятся к безопасности данных, извлекли уроки из случившегося и уделяют «приоритетное внимание постоянному укреплению ИТ-систем для защиты от постоянно возникающих киберугроз».