Chińscy hakerzy złamali VPN

Chińscy hakerzy złamali VPN

Chińscy hakerzy złamali VPN. Czy chowanie się za zewnętrznymi serwerami ma jeszcze jakiś sens? Dlaczego niedaleka przyszłość może się okazać bardzo zła dla naszej anonimowości? Co jeszcze może pójść nie tak?

Jak to się stało

Pewnie już słyszeliście, że cały Pentagon (również US Navy, FAA – Federalna Administracja Lotnictwa, Skarb Państwa i MITRE – zaawansowana agencja bezpieczeństwa) zrezygnował z usług „Ivanti Systems”.

To właśnie ta ostatnia firma zapewniała połączenia VPN dla powyższych instytucji, dając im pewną anonimowość. Jak się ostatnio okazało, nie do końca. Zatem jak do tego doszło, że zabezpieczenia zostały złamane? Cóż…

Okazuje się, że chińscy hakerzy próbowali penetrować zabezpieczenia firmy już od 2021 roku. Wykorzystali do tego celu exploit typu zero day (CVE-2025-0282). Oczywiście była to dobrze zaplanowana akcja, łącząca użycie skryptów maskujących, własnego programu malware o nazwie DRYHOOK i dokładnemu czyszczeniu logów po operacji.

Na ślad włamania wpadła CISA – Amerykański organ nadzorujący cyberbezpieczeństwo. Żeby było śmieszniej, sami korzystali z usług firmy Ivanti Systems. Ironia losu, prawda? Ale jak do tego tak naprawdę doszło? Przecież do instytucji o takim poziomie zabezpieczeń, nie da się tak po prostu włamać. Zatem co poszło nie tak?

Przyczyny

Przyczyną okazała się być chęć wyjścia ze spirali zadłużenia, kosztem pracowników. Choć, jak zaraz zauważycie, z troszeczkę innej perspektywy niż zazwyczaj. Otóż w związku z przejęciem Pulse Secure przez Clearlake Capital w 2020 roku, doszło do obciążenia Ivanti zadłużeniem w wysokości 2,8 miliarda dolarów, jednocześnie osłabiając zespoły inżynieryjne, które zabezpieczały systemy.

Co za tym idzie, zwolniono 11% personelu, zmniejszając ilość „fachowców” o połowę. Kluczowi deweloperzy bezpieczeństwa z Kalifornii i Wielkiej Brytanii otrzymali natychmiastowe wypowiedzenia, podczas gdy ich zamiennicy z „tańszych rynków” musieli zmagać się z pozostawionym kodem, który desperacko wymagał fachowej opieki.

Priorytetowo potraktowano spłaty zadłużenia przed inwestycjami w badania i rozwój, dokładnie wtedy, gdy chińscy hakerzy atakowali infrastrukturę VPN. Jak to kiedyś powiedział Rob Leahy (były Dyrektor ds. informatyki w NASA): „Matematyka jest prosta — nie da się utrzymać bezpieczeństwa na poziomie twierdzy, przy budżetach sklepów z rabatami”. Co chyba wyjaśnia, dlaczego doszło do osłabienia zabezpieczeń w systemie firmy.

Przyszłość

We wstępie napisałem również zdanie: „Co może pójść nie tak”? Otóż bardzo dużo. Zauważcie, że naprawdę wiele firm korzysta z zabezpieczeń dużych konglomeratów. Zrzeszają one u siebie tysiące firm, obiecując względne bezpieczeństwo. Co się za tym stanie, gdy powstanie podobna sytuacja, jak w Ivanti?

Dodam jescze, że powstały i będą wykorzystywane nowe narzędzia do inwigilacji, o których postaram się wspomnieć wkrótce. Dadzą one inne możliwości hakerom, dodatkowo powodując ból głowy u inżynierów od zabezpieczeń. Czy wojna „miecza i tarczy” kiedyś się skończy? Szczerze wątpie. Póki co starajmy się trzymać zdrowego rozsądku i…

Do następnego!