De hackers die inbraken bij ASML, horen waarschijnlijk bij Unit 61398 van het Chinese leger. Dat is een van de hackeenheden van het Volksbevrijdingsleger dat van de Chinese Communistische Partij opdracht zou hebben gekregen tot ‘systematische cyberspionage en datadiefstal’ tegen organisaties over de hele wereld. Dat schrijft beveiligingsbedrijf Mandiant in een rapport uit 2013. Volgens een ander beveiligingsbedrijf, Crowdstrike, richt de eenheid zich met name op ruimtevaart-, satelliet- en communicatiebedrijven, ook in Europa. Dat veel internetaanvallen vanuit China komen, constateerde de AIVD al in zijn jaarverslag van 2012 en ook hint de inlichtingendienst op betrokkenheid van de Chinese overheid bij spionage in Nederland.
Of hackers van de Chinese overheid dan ook daadwerkelijk achter de aanval op ASML zitten, is niet met honderd procent zekerheid te zeggen. Hackaanvallen zijn moeilijk te herleiden. Is in de fysieke wereld manipulatie van bewijsmateriaal (vingerafdrukken, kogelhulzen) al een probleem, in het digitale domein is dat nog veel erger. Onderzoekers van beveiligingsincidenten moeten namelijk afgaan op bewijs dat makkelijk te manipuleren is - ip-adressen, gebruikte tools, de manier van werken van aanvallers. Aanvallen kunnen via andere landen worden geleid, en de modus operandi van hackers kan worden nagebootst.
De omstandigheden van de hack wijzen er echter wel op dat het gaat om Chinese overheidshackers, melden bronnen die anoniem willen blijven tegenover Tweakers. Eén ding is zeker: het is niet de eerste keer dat de Chinese overheid ervan wordt beschuldigd hackers te laten inbreken bij buitenlandse bedrijven. Officieel ontkent de Chinese regering dat: het land zegt zelf juist slachtoffer te zijn van hacking door buitenlandse overheden - dat laatste kan overigens op zichzelf heel goed waar zijn.
Bedrijfsspionage
De Verenigde Staten beschuldigen China er echter al langer van dat het land Amerikaanse bedrijven aanvalt om bedrijfsgeheimen te stelen. Vorig jaar klaagde de Amerikaanse overheid vijf leden van het Chinese leger aan omdat ze bedrijfsgeheimen van diverse ondernemingen zouden hebben gestolen.
Nu werkt ASML zelf samen met Chinese bedrijven: eind vorig jaar sloot het bedrijf nog een overeenkomst met het Chinese chipbedrijf SMIC om chipmachines te leveren. De Chinezen blijken er echter geen been in te zien om bedrijven te hacken waarmee ze onderhandelen. Zo zouden Chinese overheidshackers het Amerikaanse bedrijf Westinghouse, dat onder meer systemen voor kerncentrales levert, hebben gekraakt terwijl dat bedrijf onderhandelde met een Chinees staatsbedrijf over de bouw van een kerncentrale. De hackers zouden de bouwplannen van de centrale hebben gestolen.
China wordt er ook van beschuldigd RSA en Lockheed Martin te hebben gehackt
Ook heeft de Amerikaanse overheid China ervan beschuldigd beveiligingsbedrijf RSA te hebben gehackt. Door zo kennis over de werking van beveiligingssoftware te vergaren, zouden de hackers hebben weten binnen te dringen bij Lockheed Martin, dat onder meer gevechtsvliegtuigen maakt. Daarbij is mogelijk het ontwerp van de JSF buitgemaakt. Ook andere bedrijven die aan het Amerikaanse leger leveren werden aangevallen, en ook informatie over de werking van het Israëlische leger zou in handen van de Chinezen zijn gekomen.
Volgens bronnen van De Volkskrant gaan Chinese hackers een stuk minder delicaat te werk dan bijvoorbeeld hun Amerikaanse collega's. Ze 'vallen massaal aan, laten sporen na en maken 'veel lawaai' op een netwerk', zo schrijft de krant. Amerikaanse overheidshackers doen veel meer moeite om hun sporen te wissen.
In 2013 zouden 141 bedrijven en organisaties zijn gekraakt, waaronder vijftien Europese bedrijven. Volgens Mandiant heeft het team honderden of mogelijk zelfs duizenden medewerkers. In het gebouw dat voor het team in Shanghai is neergezet zou in ieder geval plaats zijn voor tweeduizend medewerkers. Het team zou in 2006 actief zijn geworden, maar tussen 2011 en 2013 zou de frequentie van de aanvallen flink zijn opgevoerd. Hoe het team er nu precies voorstaat, weten we niet; het rapport stamt zoals gezegd uit 2013.
Hier zouden de hackers zich bevinden. Bron: Mandiant
Spear phishing
Het team van aanvallers gebruikte in de meeste gevallen geen al te ingewikkelde methodes om het bedrijf binnen te dringen: in de meeste gevallen gebruikten ze ‘spear phishing’. Daarbij kregen medewerkers van gekraakte bedrijven mailtjes met besmette bijlages. Die bijlages bevatten malware, waardoor de aanvallers via een backdoor toegang konden krijgen tot het bedrijfsnetwerk. Of die methode ook is gebruikt bij de aanval op ASML, is nog niet bekend.
Die technisch niet per se heel innovatieve aanval blijkt succesvol. Wat opvalt is dat de hackers grote hoeveelheden data buitmaakten. In één geval zou in een periode van tien maanden maar liefst 6,5 terabyte aan data van een bedrijf zijn gestolen. Daarbij ging het onder meer over interne documenten, zoals informatie over productieprocessen en de ontwikkeling van nieuwe producten, naast gegevens van medewerkers.
Ook behielden de aanvallers lang toegang tot een netwerk. Gemiddeld hadden ze een jaar lang toegang tot een bedrijf, maar dat liep in één geval op tot maar liefst vier jaar en tien maanden.
De vraag is hoeveel de aanvallers in een waarschijnlijk korte periode hebben kunnen buitmaken
De hackers hadden waarschijnlijk niet zo lang toegang tot het netwerk van ASML. Volgens twee bronnen van Tweakers vond de aanval dit jaar plaats, en dat duidt er op dat hij relatief snel is ontdekt. Dat is ook wat ASML zelf beweert. Volgens een andere bron van Tweakers vond vorig jaar al een aanval plaats, dus het is mogelijk dat de aanvallers wel langer toegang hadden.
De vraag is dus hoeveel de aanvallers in die waarschijnlijk korte periode hebben kunnen buitmaken. ASML zegt zelf dat het er ‘op lijkt’ dat de aanvallers slechts een kleine hoeveelheid data hebben kunnen bemachtigen, en dat het niet om gevoelige gegevens gaat. Het is echter nog te vroeg om dergelijke conclusies nu al te trekken.
/i/1247738571.png?f=fpa)