I flere år skal kinesiske hackere ha hatt tilgang til Volkswagen-gruppens datasystemer. Og på denne måten, klarte de å få tilgang på Volkswagens (VW) bedriftshemmeligheter.
Oppryddinga kostet over en milliard norske kroner. De som fikk jobben med å rydde opp etter datainnbruddet, oppdaget at over 19.000 filer hadde blitt lastet ned.
Disse filene viste verdifull informasjon. Det handlet om hva selskapet skulle satse på og nye oppfinnelser for blant annet girkasser, brenselceller og elektriske biler.
Foruten det kjente VW-merket, eier gruppen bilmerker som Audi, Skoda, Lamborghini, Bentley, Porsche, Scania og Man.
Det er først nå at dette store datainnbruddet er kjent. Avsløringen kommer rett i etterkant av at den tyske forbundskansleren Olaf Scholz har vært på en reise i Kina.
Der uttalte han uttalte at bilindustrien har behov for rettferdig konkurranse, «uten prisdumping og teknologityveri», ifølge Reuters.
Nå avslører den tyske avisa Der Spiegel og mediehuset ZDF at det massive datainnbruddet mot bilgiganten Volkswagen-gruppen handlet om nettopp teknologityveri.
Slik kom de seg på innsiden
Det var i juni 2014 at VW-gruppen oppdaget at noen hadde brutt seg inn i datasystemene deres. Dette har imidlertid vært holdt hemmelig frem til nå.
Måten hackerne kom seg inn, var via en dårlig oppsatt brannmur hos Volkswagen i Latin-Amerika. Deretter kom de seg videre innover i nettverk over hele verden, før de til slutt hadde tilgang til selskapets mest verdifulle hemmeligheter.
Over 19.000 filer med konsernets oppfinnelser og intern dokumentasjon ble hentet ut.
Opplysningene kommer etter flere måneder med gjennomgang av interndokumentasjon og intervjuer med personer som var involvert i oppryddingen, som tyske Der Spiegel og ZDF publiserer lørdag.
Arbeidet inngår som en del av en internasjonal undersøkelse av kinesiske aktiviteter i Europa, som NRK deltar i.
En talsperson for Volkswagen i Tyskland har bekreftet avsløringen, det samme har Audi i Belgia.
– På den tiden hadde vi allerede begynt å investere mye i bedre IT-sikkerhet, og denne hendelsen viste oss at det var helt riktig, sier talspersonen til Volkswagen.
De vil ikke spesifisere hvor mye opprydningen kostet, men sier det var «et lavt, tresifret millionbeløp» i euro, altså over en milliard norske kroner.
Svært stort omfang
Den norske sikkerhetseksperten Snorre Fagerland mener detaljene som kommer fram tyder på at dette var et svært stort innbrudd. Han understreker at han uttaler seg på generelt grunnlag.
– Dette er et svært stort omfang for en ren opprydding, sier Fagerland.
Han sier at det er mer vanlig å måtte gjøre en så stor oppryddingsjobb når hackerne har gått inn for å ødelegge, for eksempel ved bruk av løsepengevirus. Fagerland viser til det pågående angrepet på helsegiganten UnitedHealth.
– Det er nesten ti år siden, men blir kjent først nå. Har det skjedd andre angrep av denne størrelsen som vi ikke vet om – i Norge eller Norden?
– Det har skjedd angrep av samme type som er kjent i sikkerhetskretser, men omfanget er nok mye mindre. Og så er det helt sikkert uoppdagete innbrudd, men mye av poenget med slike innbrudd er å forbli uoppdaget, sier Fagerland.
Sporene peker mot Kina
Ifølge de interne dokumentene, som NRK har sett et utvalg av, var alle innbruddene utført av de samme hackerne. Kina er ikke eksplisitt nevnt, men til Spiegel og ZDF sier de som jobbet med oppryddingen, at sporene peker dit.
– Vi kunne spore IP-adressene tilbake til Beijing, til en adresse like ved PLA, sier en cybersikkerhetsekspert involvert i saken. PLA er kinesisk militæretterretning.
I tillegg kunne VW se at angriperne arbeidet i kinesisk tidssone, og at noe av den spionprogramvaren som var brukt i angrepet på den tiden, kun var i bruk i kinesiske, statsstøttede grupper.
Lot angriperne være inne
Volkswagen-gruppen hadde vært utsatt for hackerangrep også før angrepet som ble oppdaget i 2014. Da bilgiganten oppdaget at hackerne på ny var inne i deres systemer, gjorde de noe som kanskje høres selvmotsigende ut: De valgte å la hackerne være på innsiden.
Dette var for å kunne følge med på hva de drev med. Slik at de denne gangen skulle være sikre på at de fikk ryddet bort alle bakdører.
Samtidig varslet de utviklingsmiljøene sine om å fjerne de viktigste oppfinnelsene fra intern-nettverket, opplyser VW Tyskland til Spiegel og ZDF.
Gjennom én helg i april 2015 ble alle de sårbare systemene resatt, og blottstilte kontoer ble nullstilt.
Oppryddingen krevde deltagelse av både eksperter fra Microsoft og sikkerhetsfolk i Google-selskapet Mandiant.
Den kinesiske ambassaden kjenner ikke saken
Den kinesiske ambassaden i Berlin skriver til Der Spiegel og ZDF at de i ikke kjenner til saken.
De skriver at de «fordømmer og bekjemper enhver form for cyberspionasje», og at de jobber med mange land for å handle cyber-trusler.
Videre skriver de at det er grupper i Vesten som sprer usannheter om Kina, og at dette er skadelig for samarbeidet mellom landene.
Publisert 19.04.2024, kl. 20.40