Un groupe de piratage d’espionnage prolifique ayant des liens avec la Chine a passé plus de deux ans à piller le réseau d’entreprise de NXP, le fabricant de puces basé aux Pays-Bas dont le silicium alimente les composants sensibles à la sécurité trouvés dans les smartphones, les cartes à puce et les véhicules électriques, a rapporté un média.
L’intrusion, par un groupe suivi sous des noms tels que « Chimera » et « G0114 », a duré de fin 2017 à début 2020, selon le journal national néerlandais NRC Handelsblad, qui a cité « plusieurs sources » proches de l’incident. Pendant ce temps, les auteurs de la menace accédaient périodiquement aux boîtes aux lettres des employés et aux lecteurs réseau à la recherche de conceptions de puces et d’autres propriétés intellectuelles de NXP. La faille n’a été découverte que lorsque des intrus Chimera ont été détectés dans un réseau d’entreprise distinct connecté à plusieurs reprises à des systèmes NXP compromis. Les détails de la brèche sont restés jusqu’à présent un secret bien gardé.
Aucun dégât matériel
Le CNRC a cité un rapport publié (puis supprimé) par la société de sécurité Fox-IT, intitulé Abuser des services cloud pour passer inaperçu. Il a documenté Chimera utilisant les services cloud de sociétés telles que Microsoft et Dropbox pour recevoir des données volées sur les réseaux de fabricants de semi-conducteurs, dont un en Europe qui a été touché au « début du quatrième trimestre 2017 ». Certaines intrusions ont duré jusqu’à trois ans avant d’être révélées. Le NRC a déclaré que la victime non identifiée était NXP.
« Une fois installés sur un premier ordinateur – le patient zéro – les espions étendent progressivement leurs droits d’accès, effacent leurs traces et se faufilent secrètement vers les parties protégées du réseau », ont écrit les journalistes du CNRC dans une traduction anglaise. « Ils essaient de cacher les données sensibles qu’ils y trouvent dans des fichiers d’archives cryptés via des services de stockage cloud tels que Microsoft OneDrive. Selon les fichiers journaux trouvés par Fox-IT, les pirates informatiques viennent toutes les quelques semaines pour voir si de nouvelles données intéressantes peuvent être trouvées chez NXP et si davantage de comptes d’utilisateurs et de parties du réseau peuvent être piratés.
NXP n’a pas alerté les clients ou les actionnaires de l’intrusion, autre qu’une brève référence dans un rapport annuel 2019. On y lisait :
Nous avons, de temps à autre, subi des cyberattaques tentant d’accéder à nos systèmes et réseaux informatiques. De tels incidents, qu’ils réussissent ou non, pourraient entraîner le détournement de nos informations et technologies exclusives, la compromission des informations personnelles et confidentielles de nos employés, clients ou fournisseurs, ou interrompre nos activités. Par exemple, en janvier 2020, nous avons eu connaissance d’une compromission de certains de nos systèmes. Nous prenons des mesures pour identifier l’activité malveillante et mettons en œuvre des mesures correctives pour accroître la sécurité de nos systèmes et réseaux afin de répondre à l’évolution des menaces et aux nouvelles informations. À la date de ce dépôt, nous ne pensons pas que cette compromission du système informatique ait entraîné un effet négatif important sur notre activité ou un quelconque dommage matériel pour nous. Cependant, l’enquête est en cours et nous continuons d’évaluer la quantité et le type de données compromises. Rien ne garantit que cette violation ou tout autre incident n’aura pas d’impact significatif sur nos opérations et nos résultats financiers à l’avenir.
« Une grosse affaire »
NXP est la deuxième plus grande société européenne de semi-conducteurs derrière ASML et le 18e fabricant de puces au monde en termes de capitalisation boursière. Ses puces sont utilisées dans les iPhones et les montres Apple pour prendre en charge des mécanismes avancés de sécurité des communications en champ proche tels que l’originalité des balises, la détection de falsification et l’authentification pour Apple Pay. NXP fournit également des puces pour la carte MIFARE utilisée par les sociétés de transport, des clés de sécurité conformes à la norme FIDO et des outils pour relayer les données au sein des réseaux de véhicules électriques.
Certains chercheurs en sécurité ont déclaré qu’il était surprenant que les responsables de NXP n’aient pas informé les clients de l’intrusion des acteurs malveillants, souvent abrégés en TA, pendant deux ans.
« Les puces NXP sont présentes dans de nombreux produits », a écrit Jake Williams, ancien hacker de la National Security Agency, sur Mastodon. « Il est probable que le TA connaisse des failles spécifiques signalées à NXP qui peuvent être exploitées pour exploiter les appareils dans lesquels les puces sont intégrées, et cela suppose qu’ils n’ont pas eux-mêmes implémenté de portes dérobées. Sur 2,5 ans (au moins), ce n’est pas irréaliste.»
Un autre chercheur qui a publié des recherches dans le passé documentant un piratage réussi d’un produit largement utilisé contenant des puces NXP a exprimé une surprise similaire.
« Si un groupe d’acteurs menaçants chinois obtient le code source ou les conceptions matérielles d’un fabricant de puces, ce type de groupe peut utiliser le code source même si le code source n’est pas très bien commenté et documenté », a déclaré le chercheur, qui a demandé à ne pas être informé. identifié, a déclaré dans une interview. « Pour moi, [the intrusion] c’est un gros problème. J’ai été surpris que NXP ne communique pas avec ses clients.
Dans un e-mail, un représentant de NXP a déclaré que le rapport du NRC « est très daté car il a été traité en 2019. Comme indiqué dans notre rapport annuel 2019, nous avons pris connaissance d’une compromission de certains systèmes informatiques et, après une enquête approfondie, nous avons déterminé que cet incident n’a pas eu d’effet défavorable important sur nos activités. Chez NXP, nous prenons la sécurité des données très au sérieux. Nous avons tiré les leçons de cette expérience et accordons la priorité au renforcement continu de nos systèmes informatiques afin de nous protéger contre les menaces de cybersécurité en constante évolution.
Chimera possède une vaste expérience dans le vol de données auprès d’un large éventail d’entreprises. L’acteur menaçant utilise divers moyens pour compromettre ses victimes. Dans la campagne qui a frappé NXP, les pirates ont souvent exploité les informations de compte révélées lors de précédentes violations de données sur des sites tels que LinkedIn ou Facebook. Les données ont permis à Chimera de deviner les mots de passe utilisés par les employés pour accéder aux comptes VPN. Les membres de l’équipe ont pu contourner l’authentification multifacteur en modifiant les numéros de téléphone associés aux comptes.
La société de sécurité Cycraft a documenté une vague de piratage informatique qui a duré deux ans et qui visait les fabricants de semi-conducteurs ayant des activités à Taiwan, où NXP dispose d’installations de recherche et développement. Une attaque contre l’une des victimes anonymes a compromis 10 points de terminaison et une autre a compromis 24 points de terminaison.
« L’objectif principal de ces attaques semblait être de voler des renseignements, en particulier des documents sur les puces IC, les kits de développement logiciel (SDK), les conceptions IC, le code source, etc. », ont écrit les chercheurs de Cycraft. « Si de tels documents sont réussis à être volés, l’impact peut être dévastateur. »