在過去的一週裡,幾乎沒有一天不見到關於中國國家支持的網路間諜入侵《財星》500強公司的新聞報道,竊取智慧財產權、個人資料及其他寶貴資產。最近,研究人員發現一些中國駭客還在出售被攻陷公司的電腦存取權限,以幫助實施未來的攻擊。
中國的“防火長城”
中國政府實施的「防火長城」旨在阻止公民訪問被認為不當的特定內容和網站。因此,許多中國用戶尋求透過虛擬私人網路(VPN)服務來規避這種審查,VPN允許用戶將網路連接隧道化到超出「防火長城」控制的地點。
Terracotta VPN的崛起
RSA研究的安全專家發現了一系列針對中國網路遊戲玩家和希望規避審查的用戶的中文VPN服務,這些服務似乎也被用作對非中國企業發動攻擊的活躍平台,同時掩蓋攻擊者的來源。 RSA將這些服務稱為「Terracotta VPN」(以中國的陶俑命名),並在今天發布的報告中指出,這項VPN操作可能是首次暴露出一個惡意、高效且迅速招募全球脆弱伺服器的中國VPN網絡。
駭客組織與Terracotta VPN的關聯
被認為使用Terracotta進行攻擊和隱藏的駭客組織有多個代號,包括「Shell_Crew」和「Deep Panda」。安全專家將這個中國間諜團夥與美國歷史上最大的幾起資料外洩事件聯繫在一起,包括最近對美國人力資源管理辦公室的攻擊,以及美國醫療保險公司Anthem和Premera的洩漏事件。
根據RSA的說法,Terracotta VPN在全球擁有超過1500個節點,使用者可以透過這些節點存取網路。這些地點大多是美國、韓國、日本等地的網路服務供應商的伺服器,提供廉價的虛擬專用伺服器。
受害者不知情的伺服器
RSA研究人員發現,許多Terracotta的出口節點是被「收割」的Windows伺服器,受害者對此並不知情或未獲許可。這些系統包括一家《財星》500強飯店連鎖、一個高科技製造商、一家律師事務所、一家診所,以及一個美國州的縣政府。
RSA的報告詳細分析了一台受損VPN系統的取證過程,追蹤入侵者如何攻入伺服器並最終將其納入Terracotta VPN網路的每一步。
針對Windows伺服器的攻擊
RSA表示,所有受損系統確認都是Windows伺服器。 RSA研究懷疑Terracotta針對脆弱的Windows伺服器,因為該平台的VPN服務可以在幾秒鐘內快速設定。
國家級行為者的利用
RSA稱,涉嫌國家行為者利用至少52個Terracotta VPN節點,攻擊西方政府和商業組織的敏感目標。該公司收到了來自一家大型國防承包商的具體報告,涉及27個不同的Terracotta VPN節點互聯網地址,這些地址被用來發送針對其組織用戶的釣魚郵件。
總結與建議
RSA的報告提醒企業注意可能被攻陷的伺服器,特別是那些與8800free.info聯繫的伺服器。任何與此網域通訊的伺服器都應被視為受到攻擊。
在尋找解決方案時,建議使用者選擇經過驗證且信譽良好的VPN服務,以確保在網路安全環境中保護個人隱私和資料安全。
結論
了解中國駭客如何利用VPN進行網路攻擊的內幕,可以幫助我們更好地保護自己免受潛在的網路威脅。在選擇VPN時,請確保選擇可靠的服務供應商,以維護網路安全和個人資訊的安全。
希望這篇文章能為你提供有價值的資訊!如果你有任何問題或需要進一步的協助,請隨時與我聯絡。
