Хакер зламав китайський суперкомп'ютер через скомпрометований VPN

Хакер нібито зламав Національний центр суперкомп'ютерних обчислень Китаю

Зловмисник під псевдонімом «FlamingChina» стверджує, що проник до Національного центру суперкомп'ютерних обчислень (НЦСО) у Тяньцзіні, Китай, викравши понад 10 петабайт конфіденційних даних, які, за повідомленнями, включають засекречені оборонні документи та схеми ракет. За словами передбачуваного зловмисника, доступ було отримано через скомпрометоване VPN-з'єднання, а дані поступово витягувалися протягом кількох місяців, перш ніж їх виставили на продаж.

НЦСО в Тяньцзіні — не другорядна ціль. Установа обслуговує понад 6 000 клієнтів, серед яких передові наукові дослідницькі організації та відомства, пов'язані з обороною. Якщо факт злому буде підтверджено, це стане одним із найсерйозніших кібератак на національну інфраструктуру Китаю за останній час. На момент написання цієї статті ні НЦСО, ні китайська влада публічно не підтвердили і не спростували інцидент.

Як скомпрометований VPN стає вектором атаки

Найбільш примітна деталь у цьому передбачуваному зломі — точка входу: VPN. Віртуальні приватні мережі широко використовуються в корпоративних і державних середовищах саме тому, що вони покликані забезпечувати захищені зашифровані тунелі для віддаленого доступу. Однак коли VPN виявляється скомпрометованим, він може перетворитися із засобу захисту на відкриті двері для зловмисників.

Скомпрометований VPN може означати кілька речей на практиці. Саме програмне забезпечення VPN може містити невиправлену вразливість. Облікові дані для автентифікації у VPN могли бути отримані через фішинг або витекли. У деяких випадках постачальники VPN або інфраструктура, на яку вони спираються, могли стати безпосередньою ціллю атаки. Будь-який із цих сценаріїв може надати зловмиснику автентифікований доступ до мережі, при цьому він виглядатиме як легітимний користувач, що суттєво ускладнює виявлення.

Справа НЦСО, якщо вона відповідає дійсності, нагадує: VPN, який захищає доступ до чутливих систем, є настільки надійним, наскільки надійними є практики безпеки навколо нього. VPN — це не пасивний щит; він потребує активного обслуговування, встановлення патчів і моніторингу.

Ширший контекст: цілі з високою цінністю та тривалі атаки

Один із найтривожніших аспектів цього передбачуваного злому — хронологія подій. Зловмисник стверджує, що витягував дані протягом кількох місяців, що свідчить про те, що вторгнення залишалося непоміченим протягом тривалого часу. Тривалі атаки, коли зловмисник підтримує постійний доступ, не викликаючи тривоги, є особливо руйнівними, оскільки дозволяють здійснювати масштабне викрадення даних.

Центри суперкомп'ютерних обчислень є привабливими цілями для такого роду терплячих, методичних атак. Вони обробляють і зберігають величезні обсяги конфіденційних дослідницьких даних, а їхній масштаб може ускладнювати виявлення аномальних передач даних на тлі фонового шуму від легітимних операцій із великими обсягами. Твердження про 10 петабайт викрадених даних, хоча й не підтверджене, відповідає типу середовища, яке представляє національний центр суперкомп'ютерних обчислень.

Варто також зазначити, що дані, за повідомленнями, пропонуються на продаж, а отже, потенційна шкода виходить далеко за межі інтересів будь-якої окремої держави. Коли конфіденційні технічні та оборонні дані потрапляють на ринок, коло потенційних покупців — і пов'язані з цим наслідки для безпеки — стає значно важче контролювати.

Що це означає для вас

Більшість читачів не управляють національними центрами суперкомп'ютерних обчислень, проте цей інцидент містить практичні уроки, які застосовні на будь-якому рівні.

Безпека VPN не є автоматичною. Розгортання VPN не означає, що ваше з'єднання або дані за замовчуванням у безпеці. Програмне забезпечення має постійно оновлюватися, облікові дані мають бути захищені, а журнали доступу слід відстежувати на предмет незвичайної активності.

Гігієна облікових даних має значення. Багато зломів VPN починаються з викрадених або повторно використаних паролів. Використання надійних унікальних облікових даних і ввімкнення багатофакторної автентифікації скрізь, де це можливо, суттєво підвищує бар'єр для зловмисників.

Не всі реалізації VPN однакові. Корпоративна VPN-інфраструктура та споживчі VPN-сервіси функціонують по-різному, але обидва можуть бути неправильно налаштовані або залишені без оновлень. Незалежно від того, чи є ви ІТ-адміністратором, чи звичайним користувачем, розуміння принципів роботи вашого VPN — і того, як виглядають його збої — є необхідним.

Непідтверджені заяви заслуговують на скептицизм. Важливо зазначити, що цей злом не був незалежно підтверджений. Зловмисники іноді перебільшують обсяг викрадених даних або повністю вигадують факти злому, щоб підвищити уявну цінність того, що вони продають. Дослідникам безпеки та постраждалим організаціям слід надати час для розслідування, перш ніж робити висновки.

Для фізичних осіб і організацій, які покладаються на VPN для захисту конфіденційних комунікацій, цей інцидент є корисним приводом для перевірки поточних практик. Перевірте, чи повністю оновлено ваше програмне забезпечення VPN, оцініть, чи були ваші облікові дані доступу розкриті в будь-яких відомих витоках даних, і подумайте, чи дозволять ваші поточні практики журналювання та моніторингу виявити повільне вторгнення з малим обсягом трафіку протягом тривалого часу.

Передбачуваний злом НЦСО ще триває, і повна картина може змінитися в міру появи нової інформації. Вже зараз очевидно одне: VPN, хоч би яким важливим він не був, — це не рішення, яке можна налаштувати один раз і забути. Він потребує такої ж постійної уваги, як і будь-який інший критично важливий елемент інфраструктури безпеки.