概述:根據RSA(EMC的安全部門)的報告,一款基於中國的虛擬私人網路(VPN)旨在幫助用戶繞過該國的嚴格政府防火牆,但實際上卻由全球範圍內的惡意軟體感染節點支持。
Terracotta網路的揭示
RSA研究團隊稱,該網路被稱為“Terracotta”,與中國市場上多款商業VPN軟體程式相連,包含超過1500個節點。 RSA表示,這個網路也可能被與中國軍方有關的高階駭客團隊所利用,包括所謂的「Shell_Crew」或「DeepPanda」小組。
惡意活動的長期觀察
RSA研究人員表示,自2013年以來,他們觀察到與Terracotta VPN節點相關的惡意活動,儘管該計畫可能早於此日期就已存在。根據RSA FirstWatch的威脅情報分析師Kent Backman的說法,這些VPN軟體的背後開發者似乎利用了全球範圍內弱安全性和可連接互聯網的宿主,建立一個免費的網路來支援他們的遠端存取軟體。
受害組織的特徵
受感染的節點通常與美國及其他地區的合法組織相關聯。這使得惡意行為者能夠借助受損組織的良好聲譽進行針對其他組織的攻擊。受攻擊的組織包括一家財富500強的飯店連鎖和一家工程公司,以及其他目標:如某州的交通部門、西南部的一所特許學校等。
安全漏洞分析
可直接或間接從網際網路存取的脆弱Windows伺服器是常見主題。 RSA表示:“所有確認受害者的共同特徵是,他們的Windows伺服器暴露在互聯網上,且沒有硬體防火牆。”
針對管理員帳戶的暴力攻擊後,通常會進行遠端桌面登錄,並在受感染的系統中植入額外的惡意軟體。在至少一個案例中,受害者被迫升級其互聯網連接,因為透過受損系統傳輸的流量使其充當了Terracotta VPN節點。
VPN軟體的品牌化
所涉及的VPN軟體在中國以多種不同品牌「白標」形式存在。許多軟體與特定網站相關聯,並被宣傳為讓中國公民在沒有國家防火牆障礙的情況下上網的工具。
惡意VPN網路的普遍性
Backman指出,惡意VPN網路在歐洲及其他地區的犯罪集團中被廣泛使用。然而,發現一家表面上合法的VPN提供者依賴惡意軟體和駭客攻擊來支援其產品是非常不尋常的。他表示:“我研究中國已有10年,從未見過這樣的情況。”
安全建議與後續行動
RSA將發布Terracotta感染的妥協指標,並更新公司的客戶。該公司鼓勵組織檢查自己的網誌和其他資訊來源,以尋找可能的感染跡象。
總結
在選擇VPN產品時,消費者應謹慎評估其安全性和信譽度,以確保個人資訊和網路安全。選擇知名品牌且擁有良好安全記錄的VPN產品,能夠有效規避此類潛在風險。
