Haker probija kineski superkompjuter putem kompromitiranog VPN-a

Haker navodno probija kineski Nacionalni centar za superkompjuterstvo

Akter prijetnje koji koristi nadimak "FlamingChina" tvrdi da je infiltrirao Nacionalni centar za superkompjuterstvo (NSCC) u Tianjinu, Kina, ukravši više od 10 petabajta osjetljivih podataka koji navodno uključuju povjerljive obrambene dokumente i nacrte projektila. Navodni napadač tvrdi da je pristup ostvaren putem kompromitiranog VPN spojeva, te da su podaci postupno izvlačeni tijekom nekoliko mjeseci prije nego što su ponuđeni na prodaju.

NSCC u Tianjinu nije beznačajna meta. Ustanova opslužuje više od 6.000 klijenata, uključujući napredne organizacije za znanstvena istraživanja i agencije povezane s obranom. Ako se provala potvrdi, predstavljala bi jedan od najznačajnijih kibernetičkih napada na kinesku nacionalnu infrastrukturu u novijoj povijesti. U trenutku pisanja ovog teksta, ni NSCC ni kineske vlasti javno nisu potvrdile niti zanijekale incident.

Kako kompromitiran VPN postaje napadački vektor

Detalj koji najviše upada u oči u ovoj navodnoj provali jest ulazna točka: VPN. Virtualne privatne mreže široko su raspoređene u poslovnim i vladinim okruženjima upravo zato što pružaju sigurne, šifrirane tunele za udaljeni pristup. Međutim, kada je VPN kompromitiran, može se pretvoriti iz sigurnosnog alata u otvorena vrata za napadače.

Kompromitiran VPN može u praksi značiti nekoliko stvari. Sam VPN softver može sadržavati nezakrpljenu ranjivost. Vjerodajnice koje se koriste za autentifikaciju u VPN-u mogle su biti ukraden phishingom ili procurjele. U nekim slučajevima, pružatelji VPN usluga ili infrastruktura na kojoj se temelje mogu biti izravno napadnuti. Bilo koji od ovih scenarija može napadaču dati autentificirani pristup mreži uz prikaz kao legitimnog korisnika, što znatno otežava otkrivanje.

Slučaj NSCC-a, ako je točan, podsjetnik je da VPN koji štiti pristup osjetljivim sustavima nije ništa jači od sigurnosnih praksi koje ga okružuju. VPN nije pasivni štit; zahtijeva aktivno održavanje, zakrpljivanje i nadzor.

Širi kontekst: visoko vrijedne mete i napadi s dugim zadržavanjem

Jedan od zabrinjavajućih aspekata ove navodne provale jest vremenski okvir. Napadač tvrdi da je izvlačio podatke nekoliko mjeseci, što upućuje na to da je upada ostala neotkrivena dulje vrijeme. Napadi s dugim zadržavanjem, gdje protivnik održava trajan pristup bez pokretanja upozorenja, posebno su štetni jer omogućuju masivnu eksfiltraciju podataka.

Centri za superkompjuterstvo privlačne su mete za ovu vrstu strpljivog, metodičnog napada. Obrađuju i pohranjuju ogromne količine osjetljivih istraživačkih podataka, a njihova veličina može otežati uočavanje anomalnih prijenosa podataka na pozadini pozadinskih šumova legitimnih visokovolumenskih operacija. Tvrdnja o 10 petabajta ukradenih podataka, iako neprovjerna, konzistentna je s vrstom okruženja koje predstavlja nacionalni centar za superkompjuterstvo.

Vrijedi i napomenuti da se navedeni podaci navodno nude na prodaju, što znači da potencijalna šteta daleko nadilazi interes bilo koje pojedine nacionalne države. Kada osjetljivi tehnički i obrambeni podaci uđu na tržište, raspon potencijalnih kupaca, i iz toga proizlazeće sigurnosne implikacije, postaje znatno teže kontrolirati.

Što to znači za vas

Većina čitatelja ne upravlja nacionalnim centrima za superkompjuterstvo, ali ovaj incident nosi praktične pouke koje se primjenjuju na svakoj razini.

Sigurnost VPN-a nije automatska. Postavljanje VPN-a ne znači da su vaša veza ili podaci prema zadanim postavkama sigurni. Softver mora biti ažuriran, vjerodajnice moraju biti zaštićene, a pristupne dnevnike treba pratiti radi neobičnih aktivnosti.

Higijena vjerodajnica je važna. Mnoge provale VPN-a počinju s ukradenim ili ponovljeno upotrijebljenim lozinkama. Korištenje jakih, jedinstvenih vjerodajnica i omogućavanje višefaktorske autentifikacije gdje god je moguće znatno podiže ljestvicu za napadače.

Nisu sve VPN implementacije jednake. Korporativna VPN infrastruktura i potrošačke VPN usluge funkcioniraju različito, ali obje mogu biti pogrešno konfigurirane ili neažurirane. Bez obzira jeste li IT administrator ili individualni korisnik, razumijevanje načina na koji vaš VPN funkcionira, i kako izgledaju njegovi načini otkazivanja, od ključne je važnosti.

Neprovjerene tvrdnje zaslužuju skepticizam. Važno je napomenuti da ova provala nije neovisno provjerena. Akteri prijetnji ponekad preuveličavaju opseg ukradenih podataka ili u potpunosti izmišljaju provale kako bi podigli percipiranu vrijednost onoga što prodaju. Sigurnosnim istraživačima i pogođenim organizacijama treba dati vremena za istragu prije nego što se donose zaključci.

Za pojedince i organizacije koje se oslanjaju na VPN-ove za zaštitu osjetljivih komunikacija, ovaj incident koristan je poticaj za reviziju trenutnih praksi. Provjerite je li vaš VPN softver potpuno ažuriran, procijenite jesu li pristupne vjerodajnice bile izložene u poznatim curenjem podataka i razmotrite bi li vaše prakse evidentiranja i nadzora zapravo otkrile sporu, niskovolumensku upaduru s vremenom.

Navodni proboj NSCC-a još uvijek se razvija, a cjelokupna slika može izgledati drugačije kako se budu pojavljivale nove informacije. Ono što je već jasno jest da VPN-ovi, koliko god bili važni, nisu rješenje koje se postavi i zaboravi. Zahtijevaju iste kontinuirane pozornosti kao i svaki drugi kritičan dio sigurnosne infrastrukture.