Поставщик виртуальных частных сетей, проданных под многократными названиями брендов, использует вредоносный код, чтобы заразить серверы и превратить их в узлы в его инфраструктуре, согласно RSA.Китайское обслуживание виртуальной частной сети (VPN), названная «Терракота» исследователями в области безопасности, поставило под угрозу сотни серверов Windows для использования в качестве части его анонимизирующей инфраструктуры, предоставив и законным пользователям и атакующим с шифрованной сетью, способной к обходу Большого Брандмауэра Китая, согласно анализу, опубликованному компанией по обеспечению безопасности RSA 4 августа.Обслуживание VPN работает под различными названиями брендов в Китае, и по крайней мере 500 из его больше чем 1 500 серверов VPN законно арендованы для его операций.
Однако больше чем 300 организаций поставились под угрозу, и их серверы превратились в часть Терракотовой инфраструктуры с небольшим усилием, сказал Кент Бэкмен, специалист по анализу разведывательных данных угрозы для команды реагирования на инциденты FirstWatch RSA.Организации, которые поставились под угрозу группой, включают гостиничную сеть Fortune 500, проектную фирму, университет Японии, университет Тайваня, юридическую фирму, офис врача и чартерную школу, согласно RSA. В каждом случае организации имели доступный для Интернета Windows Server, которому не включили брандмауэр, не переименовал учетную запись администратора и имел простой пароль, сказал Бэкмен.«Большинство жертв следует за тем же образцом», сказал он. «Они были просто не сложны с точки зрения безопасности 101».
Многие выходные узлы для Терракотовой VPN казались другими аналитикам RSA: Они не имели моделей трафика типичными для узлов VPN и прибыли из университетов и компаний.Виртуальная частная сеть состоит из клиентского программного обеспечения, которое аутентифицирует себя к обслуживанию и узлам VPN для маршрутизации трафика. Услуги VPN шифруют трафик от клиента, передавая его до один или больше серверов узла, и наконец отправляя данные в его место назначения через выходной узел.
К предназначенной сети данные, кажется, прибывают из выходного узла. Одноранговая сеть TOR является, возможно, самой известной виртуально-частной и анонимизирующей сетью.Законные пользователи могут обойти национальную Фильтрацию интернет-контента Китая, так называемый Большой Брандмауэр, для посещения иначе заблокированных сайтов. Кроме того, сеть в состоянии сжать трафик, который ускоряет связи, преимущество для игр, сказал Бэкмен.
«Кажется вероятным, что пользователи являются постоянными пользователями сети», сказал он. «Большой Брандмауэр создает рынок для Большой технологии обхода Брандмауэра, таким образом, требование в Китае для программного обеспечения анонимности сдувает всех остальных».VPN также используется группами сложных компаний по предназначению атакующих в Западных странах часто, называемых усовершенствованными постоянными угрозами (APTS). VPN позволяет такому трафику, казаться, прибыть из внутренней организации, когда в действительности компания или университет непреднамеренно размещают Терракотовый узел на поставившем под угрозу сервере.
«Потенциальной жертве APT трафик, происходящий от Терракотового узла, мог появиться как правомерный трафик от законной внутренней организации, когда фактически, что организация является Терракотовой жертвой с зараженным сервером», заявили аналитики RSA в сообщении в блоге.RSA наблюдал Терракотовую VPN, используемую в фишинговых атаках и группой APT, известной как Shell_Crew, который также известен как Глубокая Panda.