แฮกเกอร์อ้างเจาะระบบศูนย์ซูเปอร์คอมพิวเตอร์แห่งชาติของจีน
ผู้ก่อภัยคุกคามที่ใช้ชื่อเล่นว่า "FlamingChina" อ้างว่าได้บุกเข้าสู่ศูนย์ซูเปอร์คอมพิวเตอร์แห่งชาติ (NSCC) ในเมืองเทียนจิน ประเทศจีน โดยขโมยข้อมูลที่ละเอียดอ่อนมากกว่า 10 เพตาไบต์ ซึ่งรายงานระบุว่ารวมถึงเอกสารด้านกลาโหมที่เป็นความลับและแผนผังขีปนาวุธ ผู้โจมตีที่ถูกกล่าวหาระบุว่าได้เข้าถึงระบบผ่านการเชื่อมต่อ VPN ที่ถูกโจมตี และดึงข้อมูลออกไปอย่างค่อยเป็นค่อยไปเป็นเวลาหลายเดือนก่อนที่จะนำออกมาวางขาย
NSCC ในเมืองเทียนจินไม่ใช่เป้าหมายเล็กน้อย สถานที่แห่งนี้ให้บริการลูกค้ากว่า 6,000 ราย รวมถึงองค์กรวิจัยทางวิทยาศาสตร์ขั้นสูงและหน่วยงานที่เชื่อมโยงกับกลาโหม หากการละเมิดดังกล่าวได้รับการยืนยัน จะถือเป็นหนึ่งในการโจมตีทางไซเบอร์ที่รุนแรงที่สุดต่อโครงสร้างพื้นฐานแห่งชาติของจีนในความทรงจำอันใกล้นี้ ณ เวลาที่เขียนบทความนี้ ทั้ง NSCC และทางการจีนยังไม่ได้ยืนยันหรือปฏิเสธเหตุการณ์ดังกล่าวต่อสาธารณะ
VPN ที่ถูกโจมตีกลายเป็นช่องทางการโจมตีได้อย่างไร
รายละเอียดที่โดดเด่นที่สุดในการละเมิดที่ถูกกล่าวหานี้คือจุดเข้า นั่นคือ VPN เครือข่ายส่วนตัวเสมือนถูกนำไปใช้งานอย่างแพร่หลายในสภาพแวดล้อมขององค์กรและภาครัฐ เนื่องจากมีวัตถุประสงค์เพื่อให้อุโมงค์ที่เข้ารหัสและปลอดภัยสำหรับการเข้าถึงระยะไกล อย่างไรก็ตาม เมื่อ VPN ถูกโจมตี มันสามารถพลิกจากการเป็นเครื่องมือรักษาความปลอดภัยกลายเป็นประตูที่เปิดโล่งสำหรับผู้โจมตีได้
VPN ที่ถูกโจมตีอาจหมายถึงหลายสิ่งในทางปฏิบัติ ซอฟต์แวร์ VPN อาจมีช่องโหว่ที่ยังไม่ได้รับการแก้ไข ข้อมูลประจำตัวที่ใช้ในการยืนยันตัวตนเข้าสู่ VPN อาจถูกฟิชชิ่งหรือรั่วไหลออกไป ในบางกรณี ผู้ให้บริการ VPN หรือโครงสร้างพื้นฐานที่พวกเขาพึ่งพาอาจถูกโจมตีโดยตรง สถานการณ์ใดสถานการณ์หนึ่งเหล่านี้สามารถทำให้ผู้โจมตีได้รับการเข้าถึงเครือข่ายในฐานะผู้ใช้ที่ผ่านการรับรองความถูกต้อง ขณะที่ดูเหมือนเป็นผู้ใช้ที่ถูกต้องตามกฎหมาย ซึ่งทำให้การตรวจจับยากขึ้นอย่างมีนัยสำคัญ
กรณีของ NSCC หากเป็นความจริง เป็นเครื่องเตือนใจว่า VPN ที่ปกป้องการเข้าถึงระบบที่ละเอียดอ่อนนั้นมีความแข็งแกร่งเพียงเท่ากับแนวปฏิบัติด้านความปลอดภัยที่ล้อมรอบมันเท่านั้น VPN ไม่ใช่โล่ที่ทำงานอย่างอัตโนมัติ มันต้องการการบำรุงรักษา การอัปเดตแพตช์ และการตรวจสอบอย่างต่อเนื่อง
บริบทที่กว้างขึ้น: เป้าหมายมูลค่าสูงและการโจมตีแบบซุ่มรอระยะยาว
หนึ่งในแง่มุมที่น่าเป็นห่วงที่สุดของการละเมิดที่ถูกกล่าวหานี้คือไทม์ไลน์ ผู้โจมตีอ้างว่าดึงข้อมูลออกไปเป็นเวลาหลายเดือน ซึ่งบ่งชี้ว่าการบุกรุกดังกล่าวไม่ได้รับการตรวจจับเป็นระยะเวลานาน การโจมตีแบบซุ่มรอระยะยาว ซึ่งผู้บุกรุกรักษาการเข้าถึงอย่างต่อเนื่องโดยไม่ก่อให้เกิดการแจ้งเตือน มีความเสียหายเป็นพิเศษเพราะช่วยให้สามารถดึงข้อมูลออกไปได้จำนวนมหาศาล
ศูนย์ซูเปอร์คอมพิวเตอร์เป็นเป้าหมายที่น่าดึงดูดสำหรับการโจมตีที่อดทนและมีระเบียบวิธีแบบนี้ พวกเขาประมวลผลและจัดเก็บข้อมูลการวิจัยที่ละเอียดอ่อนในปริมาณมหาศาล และขนาดของพวกมันอาจทำให้การถ่ายโอนข้อมูลที่ผิดปกติตรวจพบได้ยากขึ้นท่ามกลางสัญญาณรบกวนพื้นหลังของการดำเนินงานปริมาณสูงที่ถูกต้องตามกฎหมาย การอ้างสิทธิ์ว่าข้อมูลถูกขโมยไป 10 เพตาไบต์ แม้จะยังไม่ได้รับการยืนยัน แต่ก็สอดคล้องกับประเภทของสภาพแวดล้อมที่ศูนย์ซูเปอร์คอมพิวเตอร์แห่งชาติเป็นตัวแทน
นอกจากนี้ยังควรสังเกตว่าข้อมูลดังกล่าวถูกอ้างว่านำออกมาเสนอขาย ซึ่งหมายความว่าอันตรายที่อาจเกิดขึ้นขยายออกไปไกลเกินกว่าผลประโยชน์ของรัฐชาติใดรัฐชาติหนึ่ง เมื่อข้อมูลทางเทคนิคและกลาโหมที่ละเอียดอ่อนเข้าสู่ตลาด ขอบเขตของผู้ซื้อที่อาจเกิดขึ้น และผลกระทบด้านความปลอดภัยที่ตามมา จะควบคุมได้ยากขึ้นมาก
สิ่งที่เหตุการณ์นี้หมายความสำหรับคุณ
ผู้อ่านส่วนใหญ่ไม่ได้บริหารศูนย์ซูเปอร์คอมพิวเตอร์แห่งชาติ แต่เหตุการณ์นี้มีบทเรียนเชิงปฏิบัติที่ใช้ได้ในทุกระดับ
ความปลอดภัยของ VPN ไม่ใช่เรื่องอัตโนมัติ การติดตั้ง VPN ไม่ได้หมายความว่าการเชื่อมต่อหรือข้อมูลของคุณจะปลอดภัยโดยค่าเริ่มต้น ซอฟต์แวร์ต้องได้รับการอัปเดตอยู่เสมอ ข้อมูลประจำตัวต้องได้รับการปกป้อง และบันทึกการเข้าถึงควรได้รับการตรวจสอบเพื่อหากิจกรรมที่ผิดปกติ
สุขอนามัยของข้อมูลประจำตัวมีความสำคัญ การละเมิด VPN หลายครั้งเริ่มต้นจากรหัสผ่านที่ถูกขโมยหรือนำมาใช้ซ้ำ การใช้ข้อมูลประจำตัวที่แข็งแกร่งและไม่ซ้ำกัน และเปิดใช้งานการยืนยันตัวตนหลายปัจจัยทุกที่ที่เป็นไปได้จะช่วยยกระดับอุปสรรคสำหรับผู้โจมตีได้อย่างมีนัยสำคัญ
การใช้งาน VPN ไม่ได้เท่าเทียมกันทั้งหมด โครงสร้างพื้นฐาน VPN ขององค์กรและบริการ VPN สำหรับผู้บริโภคทำงานแตกต่างกัน แต่ทั้งสองสามารถกำหนดค่าผิดพลาดหรือไม่ได้รับการอัปเดตแพตช์ได้ ไม่ว่าคุณจะเป็นผู้ดูแลระบบไอทีหรือผู้ใช้ทั่วไป การเข้าใจว่า VPN ของคุณทำงานอย่างไร และรูปแบบความล้มเหลวของมันเป็นอย่างไร ถือเป็นสิ่งสำคัญ
การอ้างสิทธิ์ที่ยังไม่ได้รับการยืนยันสมควรได้รับความสงสัย สิ่งสำคัญคือต้องสังเกตว่าการละเมิดนี้ยังไม่ได้รับการยืนยันอย่างอิสระ บางครั้งผู้ก่อภัยคุกคามพูดเกินจริงเกี่ยวกับขอบเขตของข้อมูลที่ถูกขโมย หรือสร้างการละเมิดขึ้นมาทั้งหมดเพื่อเพิ่มมูลค่าที่รับรู้ได้ของสิ่งที่พวกเขากำลังขาย นักวิจัยด้านความปลอดภัยและองค์กรที่ได้รับผลกระทบควรได้รับเวลาในการสืบสวนก่อนที่จะสรุปผล
สำหรับบุคคลและองค์กรที่พึ่งพา VPN เพื่อปกป้องการสื่อสารที่ละเอียดอ่อน เหตุการณ์นี้เป็นตัวกระตุ้นที่มีประโยชน์ในการตรวจสอบแนวปฏิบัติปัจจุบัน ตรวจสอบว่าซอฟต์แวร์ VPN ของคุณได้รับการอัปเดตแพตช์อย่างครบถ้วนหรือไม่ ประเมินว่าข้อมูลประจำตัวการเข้าถึงถูกเปิดเผยในการรั่วไหลของข้อมูลที่รู้จักใดๆ หรือไม่ และพิจารณาว่าแนวปฏิบัติการบันทึกและตรวจสอบของคุณจะตรวจพบการบุกรุกแบบช้าและปริมาณต่ำในช่วงเวลาหนึ่งได้จริงหรือไม่
การละเมิดที่ถูกกล่าวหาของ NSCC ยังคงพัฒนาอยู่ และภาพรวมทั้งหมดอาจดูแตกต่างออกไปเมื่อข้อมูลเพิ่มเติมปรากฏขึ้น สิ่งที่ชัดเจนอยู่แล้วคือ VPN ไม่ว่าจะสำคัญเพียงใด ไม่ใช่วิธีแก้ปัญหาแบบตั้งค่าแล้วลืมได้ มันต้องการความใส่ใจอย่างต่อเนื่องเช่นเดียวกับส่วนประกอบโครงสร้างพื้นฐานด้านความปลอดภัยที่สำคัญอื่นๆ
