Enormt datainnbrudd hos tyske Volkswagen – mistenker kinesiske hackere

I flere år skal kinesiske hackere ha hatt tilgang til Volkswagen-gruppens datasystemer. Og på denne måten, klarte de å få tilgang på Volkswagens (VW) bedriftshemmeligheter.

Oppryddinga kostet over en milliard norske kroner. De som fikk jobben med å rydde opp etter datainnbruddet, oppdaget at over 19.000 filer hadde blitt lastet ned.

Disse filene viste verdifull informasjon. Det handlet om hva selskapet skulle satse på og nye oppfinnelser for blant annet girkasser, brenselceller og elektriske biler.

Foruten det kjente VW-merket, eier gruppen bilmerker som Audi, Skoda, Lamborghini, Bentley, Porsche, Scania og Man.

Det er først nå at dette store datainnbruddet er kjent. Avsløringen kommer rett i etterkant av at den tyske forbundskansleren Olaf Scholz har vært på en reise i Kina.

Der uttalte han uttalte at bilindustrien har behov for rettferdig konkurranse, «uten prisdumping og teknologityveri», ifølge Reuters.

Nå avslører den tyske avisa Der Spiegel og mediehuset ZDF at det massive datainnbruddet mot bilgiganten Volkswagen-gruppen handlet om nettopp teknologityveri.

Slik kom de seg på innsiden

Det var i juni 2014 at VW-gruppen oppdaget at noen hadde brutt seg inn i datasystemene deres. Dette har imidlertid vært holdt hemmelig frem til nå.

Måten hackerne kom seg inn, var via en dårlig oppsatt brannmur hos Volkswagen i Latin-Amerika. Deretter kom de seg videre innover i nettverk over hele verden, før de til slutt hadde tilgang til selskapets mest verdifulle hemmeligheter.

Over 19.000 filer med konsernets oppfinnelser og intern dokumentasjon ble hentet ut.

Opplysningene kommer etter flere måneder med gjennomgang av interndokumentasjon og intervjuer med personer som var involvert i oppryddingen, som tyske Der Spiegel og ZDF publiserer lørdag.

Arbeidet inngår som en del av en internasjonal undersøkelse av kinesiske aktiviteter i Europa, som NRK deltar i.

En talsperson for Volkswagen i Tyskland har bekreftet avsløringen, det samme har Audi i Belgia.

– På den tiden hadde vi allerede begynt å investere mye i bedre IT-sikkerhet, og denne hendelsen viste oss at det var helt riktig, sier talspersonen til Volkswagen.

De vil ikke spesifisere hvor mye opprydningen kostet, men sier det var «et lavt, tresifret millionbeløp» i euro, altså over en milliard norske kroner.

Svært stort omfang

Den norske sikkerhetseksperten Snorre Fagerland mener detaljene som kommer fram tyder på at dette var et svært stort innbrudd. Han understreker at han uttaler seg på generelt grunnlag.

– Dette er et svært stort omfang for en ren opprydding, sier Fagerland.

Han sier at det er mer vanlig å måtte gjøre en så stor oppryddingsjobb når hackerne har gått inn for å ødelegge, for eksempel ved bruk av løsepengevirus. Fagerland viser til det pågående angrepet på helsegiganten UnitedHealth.

– Det er nesten ti år siden, men blir kjent først nå. Har det skjedd andre angrep av denne størrelsen som vi ikke vet om – i Norge eller Norden?

– Det har skjedd angrep av samme type som er kjent i sikkerhetskretser, men omfanget er nok mye mindre. Og så er det helt sikkert uoppdagete innbrudd, men mye av poenget med slike innbrudd er å forbli uoppdaget, sier Fagerland.

Sporene peker mot Kina

Ifølge de interne dokumentene, som NRK har sett et utvalg av, var alle innbruddene utført av de samme hackerne. Kina er ikke eksplisitt nevnt, men til Spiegel og ZDF sier de som jobbet med oppryddingen, at sporene peker dit.

– Vi kunne spore IP-adressene tilbake til Beijing, til en adresse like ved PLA, sier en cybersikkerhetsekspert involvert i saken. PLA er kinesisk militæretterretning.

I tillegg kunne VW se at angriperne arbeidet i kinesisk tidssone, og at noe av den spionprogramvaren som var brukt i angrepet på den tiden, kun var i bruk i kinesiske, statsstøttede grupper.

Lot angriperne være inne

Volkswagen-gruppen hadde vært utsatt for hackerangrep også før angrepet som ble oppdaget i 2014. Da bilgiganten oppdaget at hackerne på ny var inne i deres systemer, gjorde de noe som kanskje høres selvmotsigende ut: De valgte å la hackerne være på innsiden.

Dette var for å kunne følge med på hva de drev med. Slik at de denne gangen skulle være sikre på at de fikk ryddet bort alle bakdører.

Samtidig varslet de utviklingsmiljøene sine om å fjerne de viktigste oppfinnelsene fra intern-nettverket, opplyser VW Tyskland til Spiegel og ZDF.

Gjennom én helg i april 2015 ble alle de sårbare systemene resatt, og blottstilte kontoer ble nullstilt.

Oppryddingen krevde deltagelse av både eksperter fra Microsoft og sikkerhetsfolk i Google-selskapet Mandiant.

Den kinesiske ambassaden kjenner ikke saken

Den kinesiske ambassaden i Berlin skriver til Der Spiegel og ZDF at de i ikke kjenner til saken.

De skriver at de «fordømmer og bekjemper enhver form for cyberspionasje», og at de jobber med mange land for å bekjempe cyber-trusler.

Videre skriver de at det er grupper i Vesten som sprer usannheter om Kina, og at dette er skadelig for samarbeidet mellom landene.

Hei!

Gjennom det internasjonale prosjektet «Hidden Front» undersøker vi kinesisk innflytelse og avhengighet i Norge, Arktis og Nord-Europa. Vi samarbeider med kollegaer i mange land for å se nærmere på blant annet spionasje og teknologityveri, men også oppkjøp, desinformasjon og propaganda. 

Vi har skrevet om at en kinesisk journalist som også jobbet i Norge utvises på livstid fra Sverige etter spionasjeanklager, om at sporene fra kjempestort cyber-innbrudd i Volkswagen-gruppen peker mot Kina, og sett på at kinesiske gigantbedrifter snuser på Kirkenes.

Tenkte du på noe da du leste, eller har innspill om denne eller andre saker vi burde undersøke? Send oss gjerne en e-post.

Du kan også sende oss innspill, tips og informasjon kryptert og sikkert via NRKs ekstra sikre varslingsmottak – se hvordan du kan bruke NRKs Secure Drop her.

Ingrid Hjellbakk Kvamstø, Inghild Eriksen og Håvard Gulldahl

Journalister

Send oss en e-post