Un prolífico grupo de hackers de espionaje con vínculos con China pasó más de dos años saqueando la red corporativa de NXP, el fabricante de chips con sede en los Países Bajos cuyo silicio alimenta componentes sensibles a la seguridad que se encuentran en teléfonos inteligentes, tarjetas inteligentes y vehículos eléctricos, informó un medio de comunicación.
La intrusión, realizada por un grupo rastreado con nombres como «Chimera» y «G0114», duró desde finales de 2017 hasta principios de 2020, según el medio de comunicación nacional holandés NRC Handelsblad, que citó a «varias fuentes» familiarizadas con el incidente. Durante ese tiempo, los actores de amenazas accedieron periódicamente a los buzones de correo y unidades de red de los empleados en busca de diseños de chips y otra propiedad intelectual de NXP. La infracción no se descubrió hasta que se detectaron intrusos Chimera en una red corporativa separada que se conectó a sistemas NXP comprometidos en varias ocasiones. Los detalles de la violación permanecieron como un secreto celosamente guardado hasta ahora.
Sin daños materiales
NRC citó un informe publicado (y luego eliminado) por la firma de seguridad Fox-IT, titulado Abusar de los servicios en la nube para pasar desapercibido. Documentó a Chimera utilizando servicios en la nube de empresas como Microsoft y Dropbox para recibir datos robados de las redes de fabricantes de semiconductores, incluida una en Europa que se vio afectada a «principios del cuarto trimestre de 2017». Algunas de las intrusiones duraron hasta tres años antes de salir a la luz. La NRC dijo que la víctima no identificada era NXP.
«Una vez anidados en una primera computadora (el paciente cero), los espías amplían gradualmente sus derechos de acceso, borran sus huellas en el medio y se escabullen en secreto a las partes protegidas de la red», escribieron los periodistas de la NRC en una traducción al inglés. “Intentan ocultar los datos confidenciales que encuentran allí en archivos cifrados a través de servicios de almacenamiento en la nube como Microsoft OneDrive. Según los archivos de registro que encuentra Fox-IT, los piratas informáticos vienen cada pocas semanas para ver si se pueden encontrar nuevos datos interesantes en NXP y si se pueden piratear más cuentas de usuarios y partes de la red”.
NXP no alertó a los clientes ni a los accionistas sobre la intrusión, salvo una breve referencia en un informe anual de 2019. Decía:
De vez en cuando, hemos experimentado ataques cibernéticos que intentan obtener acceso a nuestros sistemas y redes informáticas. Dichos incidentes, exitosos o no, podrían resultar en la apropiación indebida de nuestra información y tecnología patentadas, el compromiso de información personal y confidencial de nuestros empleados, clientes o proveedores, o interrumpir nuestro negocio. Por ejemplo, en enero de 2020, nos enteramos de que algunos de nuestros sistemas estaban comprometidos. Estamos tomando medidas para identificar la actividad maliciosa y estamos implementando medidas correctivas para aumentar la seguridad de nuestros sistemas y redes para responder a las amenazas en evolución y a la nueva información. A la fecha de esta presentación, no creemos que este compromiso del sistema de TI haya tenido como resultado un efecto material adverso en nuestro negocio ni ningún daño material para nosotros. Sin embargo, la investigación está en curso y continuamos evaluando la cantidad y el tipo de datos comprometidos. No se puede garantizar que este o cualquier otro incumplimiento o incidente no tenga un impacto material en nuestras operaciones y resultados financieros en el futuro.
«Un gran problema»
NXP es la segunda empresa de semiconductores más grande de Europa detrás de ASML y el decimoctavo fabricante de chips del mundo por capitalización de mercado. Sus chips se utilizan en iPhones y relojes Apple para admitir mecanismos avanzados de seguridad de comunicaciones de campo cercano, como originalidad de etiquetas, detección de manipulaciones y autenticación para Apple Pay. NXP también proporciona chips para la tarjeta MIFARE utilizada por las empresas de transporte, llaves de seguridad compatibles con FIDO y herramientas para transmitir datos dentro de las redes de vehículos eléctricos.
Algunos investigadores de seguridad dijeron que era sorprendente que los funcionarios de NXP no informaran a los clientes sobre la intrusión de dos años por parte de actores de amenazas, a menudo abreviados como TA.
«Los chips NXP se encuentran en muchos productos», escribió en Mastodon Jake Williams, ex hacker de la Agencia de Seguridad Nacional. “Es probable que el TA conozca fallas específicas reportadas a NXP que pueden aprovecharse para explotar los dispositivos en los que están integrados los chips, y eso suponiendo que ellos mismos no implementaron puertas traseras. Más de dos años y medio (al menos), eso no es poco realista”.
Un investigador independiente que publicó una investigación en el pasado que documenta un hack exitoso en un producto ampliamente utilizado que contiene chips NXP expresó una sorpresa similar.
«Si un grupo de actores de amenazas chinos obtiene el código fuente o los diseños de hardware de un fabricante de chips, este tipo de grupos pueden usar el código fuente incluso si el código fuente no está muy bien comentado y documentado», dijo el investigador, que pidió no ser identificado. identificado, dijo en una entrevista. «Para mí, [the intrusion] es un gran problema. Me sorprendió que NXP no se comunicara con sus clientes”.
En un correo electrónico, un representante de NXP dijo que el informe de la NRC “está muy anticuado ya que se abordó en 2019. Como se indica en nuestro Informe Anual de 2019, nos dimos cuenta de un compromiso de ciertos sistemas de TI y, después de una investigación exhaustiva, determinamos que Este incidente no resultó en un efecto material adverso en nuestro negocio. En NXP nos tomamos muy en serio la seguridad de los datos. Aprendimos de esta experiencia y priorizamos el fortalecimiento continuo de nuestros sistemas de TI para protegernos contra las amenazas de ciberseguridad en constante evolución”.
Chimera tiene una amplia experiencia en el robo de datos de una amplia gama de empresas. El actor de amenazas utiliza una variedad de medios para comprometer a sus víctimas. En la campaña que afectó a NXP, los piratas informáticos a menudo aprovecharon la información de la cuenta revelada en violaciones de datos anteriores de sitios como LinkedIn o Facebook. Los datos permitieron a Chimera adivinar las contraseñas que utilizaban los empleados para acceder a las cuentas VPN. Los miembros del equipo pudieron evitar la autenticación multifactor cambiando los números de teléfono asociados con las cuentas.
La firma de seguridad Cycraft documentó una ola de piratería informática que duró dos años y que tuvo como objetivo a los fabricantes de semiconductores con operaciones en Taiwán, donde NXP tiene instalaciones de investigación y desarrollo. Un ataque a una de las víctimas anónimas comprometió 10 puntos finales y otro comprometió 24 puntos finales.
«El objetivo principal de estos ataques parecía ser robar inteligencia, específicamente documentos sobre chips IC, kits de desarrollo de software (SDK), diseños de IC, código fuente, etc.», escribieron los investigadores de Cycraft. «Si esos documentos se roban con éxito, el impacto puede ser devastador».