Door Olaf van Miltenburg en Joost Schellevis
Feedback
• 02-03-2015 12:00
ASML gekraakt
Ook Nederland lijkt niet te ontkomen aan de Aziatische internetaanvallen waarvoor beveiligingsexperts in de VS en de AIVD al heel lang waarschuwen en die in afgelopen jaren tot ernstig bekoelde relatie tussen de VS en China leidde.
Afgelopen week meldde Tweakers dat ASML is getroffen door Chinese hackers. Iets dat het bedrijf aanvankelijk niet wilde bevestigen, maar inmiddels heeft het moeten toegeven dat er inderdaad hackers zijn binnengedrongen. Dat het om Chinese hackers gaat wil het bedrijf niet bevestigen, maar bronnen van Tweakers wijzen unaniem naar het land van de draak.
Een miljardenbedrijf met waardevolle technologie als ASML kampt regelmatig met hackpogingen en aan te nemen valt dat het bedrijf ict-beveiliging hoog in het vaandel heeft staan. Dat hackers desondanks wisten binnen te dringen lijkt dan ook in lijn te liggen met de claims dat het om Chinese staatshackers ging. Wie zijn deze hackers, waarom doen ze wat ze doen en waarom was ASML een doelwit?
Het Volksbevrijdingsleger
De hackers die inbraken bij ASML, horen waarschijnlijk bij Unit 61398 van het Chinese leger. Dat is een van de hackeenheden van het Volksbevrijdingsleger dat van de Chinese Communistische Partij opdracht zou hebben gekregen tot ‘systematische cyberspionage en datadiefstal’ tegen organisaties over de hele wereld. Dat schrijft beveiligingsbedrijf Mandiant in een rapport uit 2013. Volgens een ander beveiligingsbedrijf, Crowdstrike, richt de eenheid zich met name op ruimtevaart-, satelliet- en communicatiebedrijven, ook in Europa. Dat veel internetaanvallen vanuit China komen, constateerde de AIVD al in zijn jaarverslag van 2012 en ook hint de inlichtingendienst op betrokkenheid van de Chinese overheid bij spionage in Nederland.
Of hackers van de Chinese overheid dan ook daadwerkelijk achter de aanval op ASML zitten, is niet met honderd procent zekerheid te zeggen. Hackaanvallen zijn moeilijk te herleiden. Is in de fysieke wereld manipulatie van bewijsmateriaal (vingerafdrukken, kogelhulzen) al een probleem, in het digitale domein is dat nog veel erger. Onderzoekers van beveiligingsincidenten moeten namelijk afgaan op bewijs dat makkelijk te manipuleren is - ip-adressen, gebruikte tools, de manier van werken van aanvallers. Aanvallen kunnen via andere landen worden geleid, en de modus operandi van hackers kan worden nagebootst.
De omstandigheden van de hack wijzen er echter wel op dat het gaat om Chinese overheidshackers, melden bronnen die anoniem willen blijven tegenover Tweakers. Eén ding is zeker: het is niet de eerste keer dat de Chinese overheid ervan wordt beschuldigd hackers te laten inbreken bij buitenlandse bedrijven. Officieel ontkent de Chinese regering dat: het land zegt zelf juist slachtoffer te zijn van hacking door buitenlandse overheden - dat laatste kan overigens op zichzelf heel goed waar zijn.
Bedrijfsspionage
De Verenigde Staten beschuldigen China er echter al langer van dat het land Amerikaanse bedrijven aanvalt om bedrijfsgeheimen te stelen. Vorig jaar klaagde de Amerikaanse overheid vijf leden van het Chinese leger aan omdat ze bedrijfsgeheimen van diverse ondernemingen zouden hebben gestolen.
Nu werkt ASML zelf samen met Chinese bedrijven: eind vorig jaar sloot het bedrijf nog een overeenkomst met het Chinese chipbedrijf SMIC om chipmachines te leveren. De Chinezen blijken er echter geen been in te zien om bedrijven te hacken waarmee ze onderhandelen. Zo zouden Chinese overheidshackers het Amerikaanse bedrijf Westinghouse, dat onder meer systemen voor kerncentrales levert, hebben gekraakt terwijl dat bedrijf onderhandelde met een Chinees staatsbedrijf over de bouw van een kerncentrale. De hackers zouden de bouwplannen van de centrale hebben gestolen.
China wordt er ook van beschuldigd RSA en Lockheed Martin te hebben gehackt
Ook heeft de Amerikaanse overheid China ervan beschuldigd beveiligingsbedrijf RSA te hebben gehackt. Door zo kennis over de werking van beveiligingssoftware te vergaren, zouden de hackers hebben weten binnen te dringen bij Lockheed Martin, dat onder meer gevechtsvliegtuigen maakt. Daarbij is mogelijk het ontwerp van de JSF buitgemaakt. Ook andere bedrijven die aan het Amerikaanse leger leveren werden aangevallen, en ook informatie over de werking van het Israëlische leger zou in handen van de Chinezen zijn gekomen.
Volgens bronnen van De Volkskrant gaan Chinese hackers een stuk minder delicaat te werk dan bijvoorbeeld hun Amerikaanse collega's. Ze 'vallen massaal aan, laten sporen na en maken 'veel lawaai' op een netwerk', zo schrijft de krant. Amerikaanse overheidshackers doen veel meer moeite om hun sporen te wissen.
In 2013 zouden 141 bedrijven en organisaties zijn gekraakt, waaronder vijftien Europese bedrijven. Volgens Mandiant heeft het team honderden of mogelijk zelfs duizenden medewerkers. In het gebouw dat voor het team in Shanghai is neergezet zou in ieder geval plaats zijn voor tweeduizend medewerkers. Het team zou in 2006 actief zijn geworden, maar tussen 2011 en 2013 zou de frequentie van de aanvallen flink zijn opgevoerd. Hoe het team er nu precies voorstaat, weten we niet; het rapport stamt zoals gezegd uit 2013.

Hier zouden de hackers zich bevinden. Bron: Mandiant
Spear phishing
Het team van aanvallers gebruikte in de meeste gevallen geen al te ingewikkelde methodes om het bedrijf binnen te dringen: in de meeste gevallen gebruikten ze ‘spear phishing’. Daarbij kregen medewerkers van gekraakte bedrijven mailtjes met besmette bijlages. Die bijlages bevatten malware, waardoor de aanvallers via een backdoor toegang konden krijgen tot het bedrijfsnetwerk. Of die methode ook is gebruikt bij de aanval op ASML, is nog niet bekend.
Die technisch niet per se heel innovatieve aanval blijkt succesvol. Wat opvalt is dat de hackers grote hoeveelheden data buitmaakten. In één geval zou in een periode van tien maanden maar liefst 6,5 terabyte aan data van een bedrijf zijn gestolen. Daarbij ging het onder meer over interne documenten, zoals informatie over productieprocessen en de ontwikkeling van nieuwe producten, naast gegevens van medewerkers.
Ook behielden de aanvallers lang toegang tot een netwerk. Gemiddeld hadden ze een jaar lang toegang tot een bedrijf, maar dat liep in één geval op tot maar liefst vier jaar en tien maanden.
De vraag is hoeveel de aanvallers in een waarschijnlijk korte periode hebben kunnen buitmaken
De hackers hadden waarschijnlijk niet zo lang toegang tot het netwerk van ASML. Volgens twee bronnen van Tweakers vond de aanval dit jaar plaats, en dat duidt er op dat hij relatief snel is ontdekt. Dat is ook wat ASML zelf beweert. Volgens een andere bron van Tweakers vond vorig jaar al een aanval plaats, dus het is mogelijk dat de aanvallers wel langer toegang hadden.
De vraag is dus hoeveel de aanvallers in die waarschijnlijk korte periode hebben kunnen buitmaken. ASML zegt zelf dat het er ‘op lijkt’ dat de aanvallers slechts een kleine hoeveelheid data hebben kunnen bemachtigen, en dat het niet om gevoelige gegevens gaat. Het is echter nog te vroeg om dergelijke conclusies nu al te trekken.
Gewilde technologie uit Brabant
Om een idee te krijgen waarom ASML een doelwit van staatshackers zou zijn, is het noodzakelijk te weten wat het bedrijf precies doet. Zo maakt de Brabantse onderneming zelf geen chips, zoals sommige media afgelopen weekend schreven. De producent doet iets dat eigenlijk veel belangrijker is.
De beroemde Wet van Moore is afkomstig van een van de oprichters van Intel, Gordon E. Moore, maar het is het bedrijf uit het Brabantse Veldhoven dat de afgelopen decennia zorgde voor de instandhouding ervan. ASML maakt de machines waarmee Intel, TSMC, Global Foundries en Samsung hun chips kunnen produceren.
Simpel gezegd zorgen de machines van ASML ervoor dat er steeds meer transistors op een oppervlak van een chip passen doordat er steeds kleinere lijntjes op geprint kunnen worden. Daarmee kan er steeds meer geheugen op chips en kunnen processors als die van onder meer Intel, Apple, AMD en Nvidia steeds krachtiger en toch steeds zuiniger worden. Aanpassingen aan de architectuur spelen ook een rol, maar de verkleining zorgt voor de grote sprongen op gebied van prestatie, verbruik en geheugentoename. Of, zoals ze in Veldhoven zeggen: nothing beats shrink.
Met afstand de grootste
ASML is niet de enige fabrikant die dergelijke machines levert, maar het is met afstand de grootste en het is ook het bedrijf dat voorlopig de beste papieren in handen heeft om de Wet van Moore in stand te houden. Dat is de reden dat Intel, Samsung en TSMC enkele jaren geleden miljarden in het bedrijf staken.
Wie een computer of smartphone heeft, heeft een apparaat met chips uit machines van ASML
Wie een computer of smartphone heeft, heeft een apparaat met chips die langs de machines van ASML zijn gegaan, zo zei het bedrijf vorig jaar tegen Tweakers. Of dat zo blijft, is de vraag. De momenteel gebruikte technologie loopt op zijn eind. De opvolger, euv, is nog een paar jaar bruikbaar, maar daarna liggen de opties open.
Fabrikanten wereldwijd azen op de positie die ASML nu heeft en willen maar wat graag inzicht in waar ze precies mee bezig zijn. Als leidend technologiebedrijf is ASML dan ook een doelwit vanuit allerlei richtingen, waaronder hackers. Het concern erkent dat zelf ook en verklaart regelmatig onder vuur te liggen van aanvallen via internet.
De hack kan vanuit militair oogpunt zijn verricht: China is de laatste jaren als de dood voor backdoors en opzettelijke kwetsbaarheden in Westerse technologie. De Snowden-onthullingen hebben laten zien dat dit niet onterecht is. Vorige week nog werd bekend dat de Chinese overheid stopt met het afnemen van de producten van tal van Amerikaanse bedrijven, zoals Apple, Cisco, Citrix en Intel. Die laatste is natuurlijk sterk verbonden met ASML.
Informatie over de machines van ASML lijkt echter van weinig waarde vanuit defensief of offensief oogpunt, maar bedrijfsgeheimen over de chips van Intel, Samsung en andere partijen natuurlijk des te meer. In het verleden is onder andere gebleken dat rekenfouten van processors door aanvallers te misbruiken zijn. Gedetailleerde kennis over chips is dus waardevol voor inlichtingendiensten. Ook is de economische waarde van die kennis natuurlijk enorm. Jonge Chinese chipbedrijven als AllWinner en Rockchip proberen met hun goedkope chips de markt te veroveren.
Waren de hackers op zoek naar documenten met betrekking tot de werking van chips van de klanten van ASML? Het is niet onmogelijk. ASML laat niet na te benadrukken dat er ‘geen bewijs is dat waardevolle documenten van partners en leveranciers’ gestolen zijn. De werkzaamheden van ASML vereisen dat het concern inzicht heeft in de toekomstplannen van zijn partners. Die informatie zou wel eens van grotere waarde kunnen zijn voor China dan de blauwdrukken van machines voor chipproductie.
Economische spionage
Een ander doel van de hack is mogelijk economische spionage. China heeft een enorme honger naar technologische kennis. Door informatie over technologie te stelen verkrijgen de Chinese techbedrijven een betere concurrentiepositie, hoeven ze zelf minder te investeren in onderzoek en voorkomen ze een tijdrovende aanloop in de ontwikkeling.
Zoals gezegd zijn hackeenheden met banden met de Chinese overheid eerder betrapt op economische spionage. De vraag is wat de Chinezen op korte termijn kunnen met informatie over de machines van ASML. De enige concurrenten van ASML zijn op dit moment de Japanse bedrijven Nikon en Canon. Voor zover bekend is er geen Chinees bedrijf actief op dit terrein.
Om een concurrerende onderneming op te zetten zou een miljardeninvestering noodzakelijk zijn. Het concern uit Veldhoven heeft decennia lang ervaring opgedaan en heeft de knapste koppen op dit gebied in dienst.
ASML heeft zijn marktleiderschap verkregen door de grenzen van de natuurkunde op te zoeken en dat heeft enorm complexe know how opgeleverd. Die achterstand is met het stelen van bedrijfsgeheimen alleen natuurlijk niet in te halen, maar kan de groeiende halfgeleiderindustrie van China op lange termijn wel degelijk van pas komen.