Hacker proniká do čínského superpočítače přes kompromitované VPN

Hacker údajně proniká do čínského Národního superpočítačového centra

Aktér hrozby používající přezdívku „FlamingChina" tvrdí, že se infiltroval do Národního superpočítačového centra (NSCC) v čínském Tianjinu a odcizil více než 10 petabajtů citlivých dat, která údajně zahrnují utajované obranné dokumenty a schémata raket. Údajný útočník tvrdí, že přístup získal prostřednictvím kompromitovaného VPN připojení a že data byla postupně exfiltrována v průběhu několika měsíců, než byla nabídnuta k prodeji.

NSCC v Tianjinu není bezvýznamný cíl. Zařízení slouží více než 6 000 klientům, včetně pokročilých vědecko-výzkumných organizací a agentur spjatých s obranou. Pokud by byl průnik potvrzen, představoval by jeden z nejvýznamnějších kybernetických útoků na čínskou národní infrastrukturu v nedávné paměti. V době psaní tohoto článku ani NSCC, ani čínské úřady incident veřejně nepotvrdily ani nepopřely.

Jak se kompromitované VPN stává vektorem útoku

Nejnápadnějším detailem tohoto údajného průniku je vstupní bod: VPN. Virtuální privátní sítě jsou široce nasazovány v podnikových a vládních prostředích právě proto, že mají poskytovat bezpečné, šifrované tunely pro vzdálený přístup. Když je však VPN kompromitováno, může se z bezpečnostního nástroje stát otevřené dveře pro útočníky.

Kompromitované VPN může v praxi znamenat několik věcí. Samotný software VPN může obsahovat neopravenou zranitelnost. Přihlašovací údaje používané k autentizaci do VPN mohly být získány phishingem nebo unikly. V některých případech mohou být přímo napadeni poskytovatelé VPN nebo infrastruktura, na které závisí. Kterýkoli z těchto scénářů může útočníkovi poskytnout autentizovaný přístup k síti, přičemž se jeví jako legitimní uživatel, což výrazně ztěžuje detekci.

Případ NSCC, pokud je přesný, připomíná, že VPN chránící přístup k citlivým systémům je jen tak silné, jak silné jsou bezpečnostní postupy, které jej obklopují. VPN není pasivní štít; vyžaduje aktivní údržbu, záplatování a monitorování.

Širší kontext: vysoce hodnotné cíle a útoky s dlouhou dobou přítomnosti

Jedním z alarmujících aspektů tohoto údajného průniku je časový rámec. Útočník tvrdí, že data extrahoval po dobu několika měsíců, což naznačuje, že průnik zůstal po delší dobu neodhalený. Útoky s dlouhou dobou přítomnosti, při nichž si protivník udržuje trvalý přístup bez spouštění výstrah, jsou zvláště škodlivé, protože umožňují masivní exfiltraci dat.

Superpočítačová centra jsou atraktivními cíli pro tento druh trpělivého, metodického útoku. Zpracovávají a uchovávají obrovské objemy citlivých výzkumných dat a jejich rozsah může ztížit odhalení anomálních přenosů dat na pozadí šumu legitimních vysokoobjemových operací. Tvrzení o odcizení 10 petabajtů dat, ačkoli neověřené, je konzistentní s typem prostředí, které národní superpočítačové centrum představuje.

Za zmínku také stojí, že data jsou údajně nabízena k prodeji, což znamená, že potenciální škoda sahá daleko za hranice zájmu jakéhokoli jednotlivého národního státu. Jakmile se citlivá technická a obranná data dostanou na trh, okruh potenciálních kupců – a z toho plynoucí bezpečnostní důsledky – se stává mnohem obtížněji kontrolovatelným.

Co to znamená pro vás

Většina čtenářů neprovozuje národní superpočítačová centra, ale tento incident přináší praktické poučení, které platí na každé úrovni.

Bezpečnost VPN není automatická. Nasazení VPN neznamená, že vaše připojení nebo data jsou standardně v bezpečí. Software musí být udržován aktuální, přihlašovací údaje musí být chráněny a přístupové protokoly by měly být monitorovány kvůli neobvyklé aktivitě.

Hygiena přihlašovacích údajů je důležitá. Mnoho průniků přes VPN začíná odcizenými nebo opakovaně používanými hesly. Používání silných, jedinečných přihlašovacích údajů a povolení vícefaktorové autentizace všude, kde je to možné, výrazně zvyšuje laťku pro útočníky.

Ne všechny implementace VPN jsou stejné. Podniková infrastruktura VPN a spotřebitelské služby VPN fungují odlišně, ale obě mohou být chybně nakonfigurovány nebo ponechány bez záplat. Ať už jste správce IT nebo individuální uživatel, pochopení toho, jak vaše VPN funguje – a jak vypadají její selhání – je zásadní.

Neověřená tvrzení si zaslouží skepticismus. Je důležité poznamenat, že tento průnik nebyl nezávisle ověřen. Aktéři hrozeb někdy přehánějí rozsah odcizených dat nebo průniky zcela vymýšlejí, aby zvýšili vnímanou hodnotu toho, co prodávají. Bezpečnostní výzkumníci a dotčené organizace by měli mít čas na prošetření, než budou vyvozovány závěry.

Pro jednotlivce a organizace, které se spoléhají na VPN k ochraně citlivé komunikace, je tento incident užitečnou výzvou k auditu stávajících postupů. Zkontrolujte, zda je váš software VPN plně opatchován, zhodnoťte, zda byly přístupové údaje vystaveny v jakýchkoli známých únicích dat, a zvažte, zda by vaše protokolovací a monitorovací postupy skutečně odhalily pomalý, nízkoobsahový průnik v průběhu času.

Údajný průnik do NSCC se stále vyvíjí a úplný obraz může vypadat jinak s tím, jak se budou objevovat další informace. Co je již jasné, je to, že VPN, jakkoli jsou důležité, nejsou řešením typu „nastav a zapomeň". Vyžadují stejnou průběžnou pozornost jako jakákoli jiná kritická část bezpečnostní infrastruktury.