概述:根据RSA(EMC的安全部门)的报告,一款基于中国的虚拟私人网络(VPN)旨在帮助用户绕过该国的严格政府防火墙,但实际上却由全球范围内的恶意软件感染节点支持。
Terracotta网络的揭示
RSA研究团队称,该网络被称为“Terracotta”,与中国市场上多款商业VPN软件程序相连,包含超过1500个节点。RSA表示,这个网络可能也被与中国军方有关的高级黑客团队所利用,包括所谓的“Shell_Crew”或“DeepPanda”小组。
恶意活动的长期观察
RSA研究人员表示,自2013年以来,他们观察到与Terracotta VPN节点相关的恶意活动,尽管该计划可能早于此日期就已存在。根据RSA FirstWatch的威胁情报分析师Kent Backman的说法,这些VPN软件的背后开发者似乎利用了全球范围内弱安全性和可连接互联网的宿主,建立一个免费的网络来支持他们的远程访问软件。
受害组织的特点
受感染的节点通常与美国及其他地区的合法组织相关联。这使得恶意行为者能够借助受损组织的良好声誉进行针对其他组织的攻击。受攻击的组织包括一家财富500强的酒店连锁和一家工程公司,以及其他目标:如某州的交通部门、西南部的一所特许学校等。
安全漏洞分析
可被直接或间接从互联网访问的脆弱Windows服务器是一个常见主题。RSA表示:“所有确认受害者的共同特征是,他们的Windows服务器暴露在互联网上,且没有硬件防火墙。”
针对管理员账户的暴力攻击后,通常会进行远程桌面登录,并在受感染的系统中植入额外的恶意软件。在至少一个案例中,受害者被迫升级其互联网连接,因为通过受损系统传输的流量使其充当了Terracotta VPN节点。
VPN软件的品牌化
所涉及的VPN软件在中国以多种不同品牌“白标”形式存在。许多软件与特定网站相关联,并被宣传为让中国公民在没有国家防火墙障碍的情况下上网的工具。
恶意VPN网络的普遍性
Backman指出,恶意VPN网络在欧洲及其他地区的犯罪团伙中被广泛使用。然而,发现一家表面上合法的VPN提供商依赖恶意软件和黑客攻击来支持其产品是非常不寻常的。他表示:“我研究中国已有10年,从未见过这样的情况。”
安全建议与后续行动
RSA将发布Terracotta感染的妥协指标,并更新公司的客户。该公司鼓励组织检查自己的网络日志和其他信息来源,以寻找可能的感染迹象。
总结
在选择VPN产品时,消费者应谨慎评估其安全性和信誉度,以确保个人信息和网络安全。选择知名品牌且拥有良好安全记录的VPN产品,能够有效规避此类潜在风险。
