Het wereldwijde IT-systeem van Volkswagen, de grootste autofabrikant van Europa, is jarenlang gehackt. Dat onthullen de Duitse media Der Spiegel en ZDF in een internationaal onderzoek naar Chinese spionage waar ook Knack aan meewerkt. Hackers konden bij de Volkswagen-groep liefst 19.000 bestanden buitmaken, met onder meer informatie over nieuwe technologische ontwikkelingen.
De Duitse bondskanselier Olaf Scholz was afgelopen week op missie in China. ‘Concurrentie moet eerlijk zijn’, tweette hij maandag vanuit Shanghai. ‘Geen dumping, geen overproductie, maar betrouwbare bescherming van auteursrechten.’
Scholz’ boodschap krijgt een bijzondere betekenis in het licht van de onthulling die we vandaag publiceren: de Duitse autofabrikant Volkswagen is jarenlang gehackt, vermoedelijk door Chinese cyberspionnen. Dat blijkt uit interne documenten die paper trail media, Der Spiegel en ZDF deelden met Knack en andere mediapartners van #Hidden Front, een onderzoeksproject naar Chinese inlichtingenactiviteiten in Europa. Onze Duitse mediapartners spraken ook met twaalf goed geïnformeerde bronnen vertrouwd met het hackingdossier, die wijzen in de richting van Chinese hackers.
De hacking dateert van 2015 maar werd nooit eerder publiek gemaakt. De wereldwijde schoonmaakoperatie zou een van de grootste zijn uit de geschiedenis en volgens onze info meer dan 100 miljoen euro hebben gekost.
Porsche & Lamborghini
Op vrijdag 24 april 2015 lanceert een dozijn cyberspecialisten op de hoofdzetel van Volkswagen in het Duitse Wolfsburg operatie Remediation 65, waarbij zowat het volledige wereldwijde IT-systeem van de automobielgroep wordt stilgelegd voor een grote schoonmaak. Tot de Volkswagen-groep behoren ook de merken Bugatti, Lamborghini, Porsche, Bentley en Audi.
Remediation 65 gaat niet toevallig om 10 uur van start. Op dat moment is het in China 16 uur. ‘We hadden de hackers al maandenlang in de gaten gehouden, en wisten dat ze op vrijdagmiddag om 16 uur stopten met werken’, zegt een bron vertrouwd met de case. En ook in het weekend werkten de hackers naar verluidt niet – altijd handig als je hun intrusies moet opruimen.
19.000 bestanden
Elf maanden eerder, op 3 juni 2014, was de hacking aan het licht gekomen. Het Volkswagen-systeem bleek geïnfiltreerd via een lokale vestiging in het Mexicaanse Puebla. Volkswagen riep meteen een taskforce in het leven om het probleem verder in kaart te brengen en te remediëren. Ze besliste om de hackers eerst een tijdlang gade te slaan alvorens in te grijpen.
Verdere analyse van besmette servers toonde meteen de ernst van de intrusies, zo staat te lezen op pagina’s 14 en 15 van een interne presentatie. Forensische IT-experts konden reconstrueren dat de hackers 19.000 bestanden hadden bemachtigd.
Ook de ‘geïdentificeerde doelen’ staan opgesomd in de interne documenten die we konden inkijken: ‘ontwikkeling benzinemotor’, ‘ontwikkeling transmissie’, ‘transmissie met dubbele koppeling’ enzovoort. Voorts toonden de hackers ook interesse voor e-mobiliteit en brandstofcellen. ‘Ze waren geïnteresseerd in de besturingssoftware van de transmissie, en in technische handleidingen, bijvoorbeeld over hoe je de direct-shift-transmissie programmeert’, zegt een van de experts.
Derde hacking op rij
Volgens de 40 interne documenten was het al de derde keer dat dezelfde hackers hadden toegeslagen. Al in 2010 begonnen ze voor het eerst de infrastructuur van het VW-systeem in kaart te brengen, waarna ze in 2011 en 2012 data buitmaakten. Ook in 2013 slaagden ze in die opzet. Daarop heeft Volkswagen 78 servers opnieuw geïnstalleerd. Maar ruim een half jaar later – in juni 2014 – sloegen ze opnieuw toe.
In de interne documenten wijst Volkswagen zelf géén schuldigen aan. Het is altijd moeilijk om cyberaanvallen toe te wijzen. Maar vrijwel alle experts waar Der Spiegel en ZDF mee spraken – met inbegrip van Duitse veiligheidsbeambten – wijzen de gebruikte spionagesoftware en de vastgestelde methodes toe aan Chinese hackers. Onder meer ‘PlugX’ en ‘China Chopper’ werden gebruikt om van een afstand toestellen aan te sturen. De forensische analyse toonde aan dat de hackers ditmaal toegang hadden tot 88 servers en in heel wat daarvan geheime achterpoortjes hadden geïnstalleerd.
Audi Brussels
Een woordvoerder van Volkswagen bevestigt het cyberincident, maar wijst erop dat het al tien jaar geleden plaatsvond. ‘Toen waren we al zwaar aan het investeren om onze IT-veiligheid te verbeteren, via continue updates. Dit incident toonde ons dat we de juiste stappen hadden gezet.’
Volgens een intern document was ook Audi Brussel deel van de wereldwijde remediëringsoperatie. Knack nam contact op met woordvoerder Peter D’hoore voor een reactie. ‘Toen en nu is de cyberveiligheid van de systemen, processen en producten van ons bedrijf van het grootste belang’, zegt D’Hoore. ‘We werken er voortdurend aan om ons IT-landschap, onze producten en digitale ecosystemen veilig en gebruiksklaar te houden.’
Internationale concurrentie
Volgende week gaat in de Chinese hoofdstad Beijing de autobeurs van start. Duitse merken zullen er hun nieuwste modellen voorstellen. Tien jaar na de hacking zijn Duitse en Chinese autofabrikanten elkaars grootste concurrenten in het segment van elektrische wagens. Zou het kunnen dat de gehackte informatie daarin een rol heeft gespeeld?
Professor Helena Wisbert van de Ostfalia-Universiteit in Wolfsburg, gespecialiseerd in de auto-industrie, denkt dat dat mogelijk is. ‘Gegevens over benzinemotoren en transmissies – en dan ook nog over specifieke knowhow met betrekking tot elektrische auto’s en waterstofauto’s… Aandrijftechnologieën blijven een zeer belangrijke rol spelen in de internationale concurrentie’, zegt ze aan Der Spiegel en ZDF.
De Chinese ambassade in Berlijn reageert dat China een groot voorstander is van cyberveiligheid, en cyberspionage altijd heeft veroordeeld en bestreden. ‘We zijn vastbesloten de samenwerking met landen – waaronder Duitsland – te versterken om cyberdreigingen gezamenlijk aan te pakken op basis van wederzijds respect, gelijkheid en wederzijds voordeel.’
De ambassade stelt dat in het Westen geruchten en onwaarheden over Chinese betrokkenheid worden verspreid: ‘Ze beschuldigen de Chinese regering ervan hackersgroepen te steunen bij het uitvoeren van cyberaanvallen. Dat zijn extreem schandalige beschuldigingen die we stellig verwerpen.’
Dit artikel is de tweede publicatie uit de onderzoeksreeks #HiddenFront, een journalistiek samenwerkingsverband over Chinese inlichtingenactiviteiten in Europa. Mediapartners zijn paper trail media, ZDF en Der Spiegel (Duitsland), YLE (Finland), DR (Denemarken), Göteborgs Posten en SVT (Zweden), NRK (Noorwegen) en Knack. In de eerste aflevering onthulden we begin april dat Zweden een Chinese journalist het land heeft uitgezet wegens ‘ernstige bedreiging’.
Fout opgemerkt of meer nieuws? Meld het hier