Утечки данных

Хакер взломал китайский суперкомпьютер через скомпрометированный VPN

9 апреля 2026 г.4 мин чтения

Хакер предположительно взломал Национальный центр суперкомпьютерных вычислений Китая

Злоумышленник, действующий под псевдонимом «FlamingChina», заявляет о проникновении в Национальный центр суперкомпьютерных вычислений (НЦСВ) в Тяньцзине, Китай, похитив более 10 петабайт конфиденциальных данных, в числе которых, по имеющимся сведениям, засекреченные оборонные документы и схемы ракет. По словам предполагаемого злоумышленника, доступ был получен через скомпрометированное VPN-соединение, а данные извлекались постепенно на протяжении нескольких месяцев, после чего были выставлены на продажу.

НЦСВ в Тяньцзине — далеко не второстепенный объект. Центр обслуживает более 6 000 клиентов, включая передовые научно-исследовательские организации и ведомства, связанные с оборонным сектором. Если факт взлома подтвердится, это станет одной из наиболее значительных кибератак на объекты национальной инфраструктуры Китая за последнее время. На момент написания материала ни НЦСВ, ни китайские власти публично не подтвердили и не опровергли произошедшего.

Как скомпрометированный VPN превращается в вектор атаки

Наиболее примечательная деталь в этом предполагаемом взломе — точка входа: VPN. Виртуальные частные сети широко применяются в корпоративных и государственных структурах именно потому, что призваны обеспечивать безопасные зашифрованные каналы для удалённого доступа. Однако в случае компрометации VPN из инструмента защиты превращается в открытую дверь для злоумышленников.

Компрометация VPN может означать разные вещи на практике. В самом VPN-программном обеспечении может присутствовать неустранённая уязвимость. Учётные данные для аутентификации в VPN могут быть получены в результате фишинга или утечки. В отдельных случаях целью атаки могут быть непосредственно провайдеры VPN или используемая ими инфраструктура. Любой из этих сценариев способен предоставить злоумышленнику аутентифицированный доступ к сети, позволяя выдавать себя за легитимного пользователя, что существенно затрудняет обнаружение.

Случай с НЦСВ, если он соответствует действительности, напоминает: VPN, защищающий доступ к конфиденциальным системам, настолько надёжен, насколько надёжны окружающие его меры безопасности. VPN — не пассивный щит; он требует активного обслуживания, своевременного обновления и постоянного мониторинга.

Более широкий контекст: высокоценные цели и атаки с длительным присутствием

Одним из наиболее тревожных аспектов этого предполагаемого взлома является хронология событий. Злоумышленник утверждает, что извлекал данные на протяжении нескольких месяцев, что свидетельствует о длительном необнаруженном присутствии в системе. Атаки с продолжительным пребыванием — когда злоумышленник сохраняет постоянный доступ, не вызывая оповещений, — особенно разрушительны, поскольку позволяют осуществлять массовую эксфильтрацию данных.

Центры суперкомпьютерных вычислений — привлекательные мишени для подобных методичных, терпеливых атак. Они обрабатывают и хранят огромные объёмы чувствительных исследовательских данных, а их масштаб способен затруднить выявление аномальных передач данных на фоне обычного высокого трафика легитимных операций. Заявление о похищении 10 петабайт данных, пусть и неподтверждённое, вполне соответствует характеру среды, которую представляет национальный центр суперкомпьютерных вычислений.

Следует также отметить, что данные предположительно выставлены на продажу, а значит, потенциальный ущерб выходит далеко за рамки интересов какого-либо одного государства. Когда конфиденциальные технические и оборонные данные попадают на рынок, круг потенциальных покупателей — и связанные с этим последствия для безопасности — становится значительно сложнее контролировать.

Что это означает для вас

Большинство читателей не управляют национальными центрами суперкомпьютерных вычислений, однако этот инцидент несёт практические уроки, применимые на любом уровне.

Безопасность VPN не обеспечивается автоматически. Развёртывание VPN не означает, что ваше соединение или данные по умолчанию защищены. Программное обеспечение должно своевременно обновляться, учётные данные — надёжно защищаться, а журналы доступа — регулярно проверяться на предмет подозрительной активности.

Культура работы с учётными данными имеет значение. Многие взломы VPN начинаются с похищенных или повторно используемых паролей. Применение надёжных уникальных учётных данных и включение многофакторной аутентификации везде, где это возможно, существенно повышают порог сложности для злоумышленников.

Не все реализации VPN равнозначны. Корпоративная VPN-инфраструктура и потребительские VPN-сервисы функционируют по-разному, однако и те и другие могут быть неправильно настроены или не получать своевременных обновлений. Независимо от того, являетесь ли вы IT-администратором или рядовым пользователем, понимание принципов работы вашего VPN и возможных сценариев его сбоя является обязательным условием.

Непроверенные заявления требуют критического отношения. Важно учитывать, что данный взлом не получил независимого подтверждения. Злоумышленники порой преувеличивают масштаб похищенных данных или полностью фабрикуют факты взлома, стремясь повысить воспринимаемую ценность того, что они продают. Исследователям в области безопасности и пострадавшим организациям необходимо предоставить время для расследования, прежде чем делать выводы.

Для физических лиц и организаций, использующих VPN для защиты конфиденциальных коммуникаций, этот инцидент служит полезным поводом проверить текущие практики. Убедитесь в том, что ваше VPN-программное обеспечение полностью обновлено, оцените, не были ли учётные данные доступа скомпрометированы в результате известных утечек данных, и задумайтесь, позволят ли ваши практики ведения журналов и мониторинга своевременно выявить медленное, низкоинтенсивное вторжение, продолжающееся на протяжении длительного времени.

Предполагаемый взлом НЦСВ продолжает развиваться, и по мере поступления новой информации общая картина может существенно измениться. Уже сейчас очевидно одно: VPN, при всей своей важности, не является решением, которое можно настроить раз и навсегда. Он требует такого же постоянного внимания, как и любой другой критически важный элемент инфраструктуры безопасности.

// FAQ

Кто берёт на себя ответственность за взлом НЦСВ в Тяньцзине?

Ответственность за взлом берёт на себя злоумышленник, действующий под псевдонимом «FlamingChina». По его утверждению, из учреждения было похищено более 10 петабайт конфиденциальных данных.

Каким образом злоумышленник предположительно получил доступ к центру суперкомпьютерных вычислений?

Злоумышленник утверждает, что доступ был получен через скомпрометированное VPN-соединение. Скомпрометированный VPN позволяет злоумышленнику выдавать себя за легитимного пользователя, что существенно затрудняет обнаружение вторжения.

Какие данные предположительно были похищены в результате взлома?

По имеющимся сведениям, похищенные данные включают засекреченные оборонные документы и схемы ракет, а также другую конфиденциальную информацию. Данные предположительно выставлены на продажу.

Сколько клиентов обслуживает Национальный центр суперкомпьютерных вычислений в Тяньцзине?

НЦСВ в Тяньцзине обслуживает более 6 000 клиентов, включая передовые научно-исследовательские организации и ведомства, связанные с оборонным сектором.

Как долго злоумышленник предположительно сохранял необнаруженный доступ к сети?

Злоумышленник утверждает, что постепенно извлекал данные на протяжении нескольких месяцев, прежде чем вторжение было обнаружено. Подобные атаки с длительным присутствием позволяют осуществлять массовую эксфильтрацию данных, не вызывая оповещений.

Хакер предположительно взломал Национальный центр суперкомпьютерных вычислений Китая

Как скомпрометированный VPN превращается в вектор атаки

Более широкий контекст: высокоценные цели и атаки с длительным присутствием

Что это означает для вас

// FAQ

// Похожие