Хакер пробива китайски суперкомпютър чрез компрометиран VPN

Хакер предположително пробива Националния център за суперизчисления на Китай

Заплашител, използващ псевдонима „FlamingChina", твърди, че е проникнал в Националния център за суперизчисления (NSCC) в Тянджин, Китай, откраднал е повече от 10 петабайта чувствителни данни, които предположително включват класифицирани отбранителни документи и схеми на ракети. Предполагаемият нападател твърди, че достъпът е бил получен чрез компрометирана VPN връзка и че данните са били извличани постепенно в продължение на няколко месеца, преди да бъдат предложени за продажба.

NSCC в Тянджин не е маловажна цел. Съоръжението обслужва над 6 000 клиенти, включително напреднали организации за научни изследвания и агенции, свързани с отбраната. Ако пробивът бъде потвърден, той би представлявал една от най-значимите кибератаки срещу китайската национална инфраструктура в близката история. Към момента на писане нито NSCC, нито китайските власти са публично потвърдили или отрекли инцидента.

Как един компрометиран VPN се превръща във вектор на атака

Детайлът, който се откроява най-много в това предполагаемо пробиване, е входната точка: VPN. Виртуалните частни мрежи са широко разгърнати в корпоративни и правителствени среди именно защото се предполага, че осигуряват защитени, криптирани тунели за отдалечен достъп. Когато обаче VPN бъде компрометиран, той може да се превърне от инструмент за сигурност в отворена врата за нападателите.

Компрометиран VPN може да означава няколко неща на практика. Самият VPN софтуер може да съдържа незакърпена уязвимост. Идентификационните данни, използвани за удостоверяване в VPN, може да са били фишнати или изтекли. В някои случаи доставчиците на VPN или инфраструктурата, на която разчитат, може да са били директно атакувани. Всеки от тези сценарии може да даде на нападателя удостоверен достъп до мрежата, докато изглежда като легитимен потребител, което прави засичането значително по-трудно.

Случаят с NSCC, ако е точен, напомня, че VPN, защитаващ достъпа до чувствителни системи, е толкова силен, колкото практиките за сигурност около него. VPN не е пасивен щит; той изисква активна поддръжка, закърпване и наблюдение.

По-широкият контекст: Ценни цели и атаки с дълго присъствие

Един от по-тревожните аспекти на това предполагаемо пробиване е времевата линия. Нападателят твърди, че е извличал данни в продължение на няколко месеца, което предполага, че проникването е останало незабелязано за продължителен период. Атаките с дълго присъствие, при които противникът поддържа постоянен достъп, без да задейства сигнали, са особено вредоносни, тъй като позволяват масово изтичане на данни.

Центровете за суперизчисления са привлекателни цели за този вид търпеливи, методични атаки. Те обработват и съхраняват огромни обеми чувствителни изследователски данни и мащабът им може да затрудни забелязването на аномални преноси на данни на фона на фоновия шум от законни операции с голям обем. Твърдението за 10 петабайта откраднати данни, макар и непотвърдено, е в съответствие с вида среда, която представлява националният център за суперизчисления.

Заслужава си да се отбележи и, че данните предположително се предлагат за продажба, което означава, че потенциалните щети се простират далеч отвъд интересите на която и да е отделна държава. Когато чувствителни технически и отбранителни данни навлязат на пазара, обхватът на потенциалните купувачи — и произтичащите от това последици за сигурността — стават много по-трудни за контролиране.

Какво означава това за вас

Повечето читатели не управляват национални центрове за суперизчисления, но този инцидент носи практически поуки, приложими на всяко ниво.

Сигурността на VPN не е автоматична. Внедряването на VPN не означава, че вашата връзка или данни са защитени по подразбиране. Софтуерът трябва да се поддържа актуален, идентификационните данни трябва да бъдат защитени, а регистрационните файлове за достъп трябва да се наблюдават за необичайна активност.

Хигиената на идентификационните данни е от значение. Много пробиви на VPN започват с откраднати или повторно използвани пароли. Използването на силни, уникални идентификационни данни и активирането на многофакторно удостоверяване навсякъде, където е възможно, значително повишава бариерата за нападателите.

Не всички VPN реализации са равностойни. Корпоративната VPN инфраструктура и потребителските VPN услуги функционират по различен начин, но и двете могат да бъдат неправилно конфигурирани или оставени без закърпване. Независимо дали сте IT администратор или индивидуален потребител, разбирането на начина, по който работи вашият VPN — и как изглеждат неговите режими на неизправност — е от съществено значение.

Непотвърдените твърдения заслужават скептицизъм. Важно е да се отбележи, че този пробив не е независимо проверен. Заплашителите понякога преувеличават обхвата на откраднатите данни или изцяло измислят пробиви, за да повишат възприеманата стойност на това, което продават. На изследователите по сигурността и засегнатите организации трябва да се даде време за разследване, преди да се правят изводи.

За физически лица и организации, които разчитат на VPN за защита на чувствителни комуникации, този инцидент е полезен повод за преглед на текущите практики. Проверете дали VPN софтуерът ви е напълно закърпен, преценете дали идентификационните данни за достъп са били изложени при някое известно изтичане на данни и помислете дали вашите практики за регистриране и наблюдение действително биха разкрили бавно, нискообемно проникване с течение на времето.

Предполагаемото пробиване на NSCC все още се развива и пълната картина може да изглежда по различен начин с появата на повече информация. Вече е ясно, че VPN мрежите, колкото и важни да са, не са решение от типа „настрой и забрави". Те изискват същото постоянно внимание като всеки друг критичен елемент от инфраструктурата за сигурност.