Охват серверов Terracota VPN
Необычную бизнес-схему избрал китайский провайдер услуг VPN, рекламирующий их под несколькими различными брендами в Китае. Очень низкую цену за услуги предоставления зашифрованного доступа в интернет, $3 в месяц, провайдер смог обеспечить, используя в своей сети чужие компьютеры, которые были взломаны и незаметно работали под его управлением.
На эту систему натолкнулись исследователи из RSA Security, изучая недавнюю массовую утечку информации об американских государственных служащих, в которой обвинили китайских хакеров. В RSA назвали эту VPN-сеть Terracota VPN, намекая на "Терракотовую армию", в роли которой выступают, по их представлению, пользователи этой сети. В Китае услуги VPN пользуются большой популярностью из-за обстоятельного подхода правительства к интернет-цензуре.
Схема работы сети
По информации RSA, Terracota VPN для расширения пула своих серверов постоянно находит уязвимые компьютеры под управлением Windows и взламывает их, включает на них VPN-сервис и присоединяет к своей сети. Среди подконтрольных серверов исследователями были обнаружены сервера, принадлежащие библиотекам, университетам, отелям и различным государственным учреждениям США.
Судя по всему, компьютеры под управлением Windows выбраны как по причине их подверженности взлому, так и потому, что настройка такого компьютера в качестве узла VPN происходит гораздо проще, чем у компьютеров, работающих под управлением других операционных систем. Используя метод «грубой силы», хакеры подбирают пароль администратора, и затем отключают защиту компьютера, чтобы превратить его в работающий узел VPN. Для этого на компьютере создаётся отдельный пользовательская учётная запись и устанавливается система удалённого управления компьютером «Gh0st RAT».
Кроме того, исследователи нашли и другие порочные практики, которые используется провайдером – например, присвоение одному физическому устройству нескольких десятков ip-адресов, чтобы произвести впечатление гораздо более крупной сети, чем это есть на самом деле.
Схема взлома сервера
В докладе RSA утверждается, что деятельность Terracota VPN удалось связать с хакерской группировкой Deep Panda, которую подозревают в организации массивной утечки персональной информации. Доказательств непосредственного сотрудничества компании с хакерами нет – возможно, хакеры просто пользовались услугами этой сети, в которой легко замести следы из-за системы её организации.
RSA Security была организована в 1982 как независимая компания, и куплена в 2006 году компанией EMC Corporation, одной из крупнейших в мире корпораций на рынке продуктов, услуг и решений для хранения и управления информацией. Штаб-квартира EMC находится в городе Хопкинтон, штат Массачусетс (США).
Автор: SLY_G
