Hakkeri murtautui Kiinan supertietokoneelle vaarantuneen VPN:n kautta

Hakkerin väitetään murtautuneen Kiinan kansalliseen supertietokeskukseen

Uhkatoimija, joka käyttää nimimerkkiä "FlamingChina", väittää tunkeutuneensa Kiinan Tianjinissa sijaitsevaan kansalliseen supertietokeskukseen (NSCC) ja varastaneensa yli 10 petatavua arkaluonteista dataa, johon tiettävästi sisältyy salaisiksi luokiteltuja puolustusasiakirjoja ja ohjuspiirustuksia. Väitetyn hyökkääjän mukaan pääsy järjestelmiin saavutettiin vaarantuneen VPN-yhteyden kautta, ja data siirrettiin asteittain useiden kuukausien aikana ennen kuin se laitettiin myyntiin.

Tianjinin NSCC ei ole vähäpätöinen kohde. Laitos palvelee yli 6 000 asiakasta, mukaan lukien edistyneitä tieteellisen tutkimuksen organisaatioita ja puolustukseen kytköksissä olevia virastoja. Jos tietomurto vahvistetaan, se olisi yksi merkittävimmistä kyberhyökkäyksistä Kiinan kansalliseen infrastruktuuriin viime aikoina. Tätä kirjoitettaessa NSCC eikä Kiinan viranomaiset ole julkisesti vahvistaneet tai kiistäneet tapahtumaa.

Kuinka vaarantuneesta VPN:stä tulee hyökkäysvektori

Tässä väitetyssä tietomurrossa eniten huomiota herättää sisäänpääsypiste: VPN. Virtuaaliset yksityisverkot ovat laajalti käytössä yritys- ja viranomaisympäristöissä juuri siksi, että niiden on tarkoitus tarjota suojatut, salatut tunnelit etäkäyttöä varten. Kun VPN kuitenkin vaarantuu, se voi muuttua tietoturvatyökalusta avoimeksi oveksi hyökkääjille.

Vaarantunut VPN voi käytännössä tarkoittaa useita asioita. Itse VPN-ohjelmistossa saattaa olla paikkaamaton haavoittuvuus. VPN-kirjautumiseen käytetyt tunnistetiedot on saatettu kalastella tai ne ovat vuotaneet. Joissakin tapauksissa VPN-palveluntarjoajat tai niiden käyttämä infrastruktuuri on saatettu kohdistaa suoraan. Mikä tahansa näistä skenaarioista voi antaa hyökkääjälle todennetun pääsyn verkkoon samalla kun hän näyttää olevan laillinen käyttäjä, mikä vaikeuttaa havaitsemista huomattavasti.

NSCC:n tapaus, jos se pitää paikkansa, on muistutus siitä, että arkaluonteisiin järjestelmiin pääsyä suojaava VPN on yhtä vahva kuin sitä ympäröivät tietoturvakäytännöt. VPN ei ole passiivinen suoja; se vaatii aktiivista ylläpitoa, päivittämistä ja seurantaa.

Laajempi asiayhteys: arvokkaat kohteet ja pitkäkestoiset hyökkäykset

Yksi tämän väitetyn tietomurron hälyttävimmistä piirteistä on aikajana. Hyökkääjä väittää siirtäneensä dataa useiden kuukausien ajan, mikä viittaa siihen, että tunkeutuminen jäi havaitsematta pitkäksi aikaa. Pitkäkestoiset hyökkäykset, joissa vastustaja ylläpitää pysyvää pääsyä ilman hälytysten laukaisemista, ovat erityisen vahingollisia, koska ne mahdollistavat massiivisen tietojen suodattamisen.

Supertietokeskukset ovat houkuttelevia kohteita tämän tyyppisille kärsivällisille ja järjestelmällisille hyökkäyksille. Ne käsittelevät ja tallentavat valtavia määriä arkaluonteista tutkimusdataa, ja niiden mittakaava voi tehdä poikkeavien tiedonsiirtojen havaitsemisesta vaikeampaa laillisten suurivolyymisten toimintojen taustakohinan joukossa. Väite 10 petatavun varastetusta datasta on, vaikka se onkin vahvistamaton, yhdenmukainen sen ympäristön kanssa, jota kansallinen supertietokeskus edustaa.

On myös syytä huomata, että dataa väitetään tarjottavan myyntiin, mikä tarkoittaa, että mahdollinen vahinko ulottuu paljon yksittäisen kansallisvaltion etuja pidemmälle. Kun arkaluonteinen tekninen ja puolustusdata päätyy markkinoille, potentiaalisten ostajien joukko ja siitä aiheutuvat turvallisuusvaikutukset muuttuvat paljon vaikeammiksi hillitä.

Mitä tämä tarkoittaa sinulle

Useimmat lukijat eivät hallinnoi kansallisia supertietokeskuksia, mutta tämä tapaus sisältää käytännön oppeja, jotka soveltuvat kaikilla tasoilla.

VPN-turvallisuus ei ole automaattista. VPN:n käyttöönotto ei tarkoita, että yhteytesi tai datasi on oletusarvoisesti turvassa. Ohjelmisto on pidettävä ajan tasalla, tunnistetiedot on suojattava ja käyttölokit on seurattava epätavallisen toiminnan varalta.

Tunnistetietojen hallinnalla on merkitystä. Monet VPN-murrot alkavat varastetuista tai uudelleenkäytetyistä salasanoista. Vahvojen, yksilöllisten tunnistetietojen käyttäminen ja monivaiheisen todennuksen ottaminen käyttöön aina kun mahdollista nostaa hyökkääjien rimaa merkittävästi.

Kaikki VPN-toteutukset eivät ole samanarvoisia. Yrityksen VPN-infrastruktuuri ja kuluttajille suunnatut VPN-palvelut toimivat eri tavoin, mutta molemmissa voi olla väärä konfiguraatio tai ne voidaan jättää päivittämättä. Olitpa sitten IT-järjestelmänvalvoja tai yksityinen käyttäjä, on olennaista ymmärtää, kuinka VPN toimii ja miltä sen vikasietotilanteet näyttävät.

Vahvistamattomat väitteet ansaitsevat skeptisyyttä. On tärkeää huomata, että tätä tietomurtoa ei ole itsenäisesti vahvistettu. Uhkatoimijat liioittelevat joskus varastetun datan laajuutta tai sepittävät tietomurtoja kokonaan korottaakseen myymänsä tavaran koettua arvoa. Tietoturvatutkijoille ja asianosaisille organisaatioille tulee antaa aikaa tutkia asia ennen johtopäätösten tekemistä.

Henkilöille ja organisaatioille, jotka luottavat VPN:iin arkaluonteisen viestinnän suojaamisessa, tämä tapaus on hyödyllinen kehotus tarkastella nykyisiä käytäntöjä. Tarkista, onko VPN-ohjelmistosi täysin päivitetty, arvioi, ovatko käyttötunnuksesi paljastuneet jossakin tunnetussa tietovuodossa, ja harkitse, havaitsisivatko nykyiset kirjaus- ja seurantakäytäntösi todellisuudessa hitaan ja pienivoluumisen tunkeutumisen ajan myötä.

Väitetty NSCC:n tietomurto on yhä kehittymässä, ja kokonaiskuva saattaa näyttää erilaiselta, kun lisää tietoa ilmenee. Jo nyt on selvää, että VPN:t, vaikka ne ovatkin tärkeitä, eivät ole kertakäyttöinen ratkaisu. Ne vaativat saman jatkuvan huomion kuin mikä tahansa muu kriittinen tietoturvainfrastruktuuri.