Китайский VPN-провайдер увеличивает сеть своих серверов за счёт взлома чужих

Охват серверов Terracota VPN

Необычную бизнес-схему избрал китайский провайдер ^[1]услуг VPN, рекламирующий их под несколькими различными брендами в Китае. Очень низкую цену за услуги предоставления зашифрованного доступа в интернет, $3 в месяц, провайдер смог обеспечить, используя в своей сети чужие компьютеры, которые были взломаны и незаметно работали под его управлением.

На эту систему натолкнулись исследователи из RSA Security, изучая недавнюю массовую утечку информации ^[2]об американских государственных служащих, в которой обвинили китайских хакеров. В RSA назвали эту VPN-сеть Terracota VPN, намекая на "Терракотовую армию ^[3]", в роли которой выступают, по их представлению, пользователи этой сети. В Китае услуги VPN пользуются большой популярностью из-за обстоятельного подхода правительства к интернет-цензуре ^[4].

Схема работы сети

По информации RSA ^[5], Terracota VPN для расширения пула своих серверов постоянно находит уязвимые компьютеры под управлением Windows и взламывает их, включает на них VPN-сервис и присоединяет к своей сети. Среди подконтрольных серверов исследователями были обнаружены сервера, принадлежащие библиотекам, университетам, отелям и различным государственным учреждениям США.

Судя по всему, компьютеры под управлением Windows выбраны как по причине их подверженности взлому, так и потому, что настройка такого компьютера в качестве узла VPN происходит гораздо проще, чем у компьютеров, работающих под управлением других операционных систем. Используя метод «грубой силы», хакеры подбирают пароль администратора, и затем отключают защиту компьютера, чтобы превратить его в работающий узел VPN. Для этого на компьютере создаётся отдельный пользовательская учётная запись и устанавливается система удалённого управления компьютером «Gh0st RAT».

Кроме того, исследователи нашли и другие порочные практики, которые используется провайдером – например, присвоение одному физическому устройству нескольких десятков ip-адресов, чтобы произвести впечатление гораздо более крупной сети, чем это есть на самом деле.

Схема взлома сервера

В докладе RSA утверждается, что деятельность Terracota VPN удалось связать с хакерской группировкой Deep Panda ^[6], которую подозревают в организации массивной утечки персональной информации. Доказательств непосредственного сотрудничества компании с хакерами нет – возможно, хакеры просто пользовались услугами этой сети, в которой легко замести следы из-за системы её организации.

RSA Security была организована в 1982 как независимая компания, и куплена в 2006 году компанией EMC Corporation, одной из крупнейших в мире корпораций на рынке продуктов, услуг и решений для хранения и управления информацией. Штаб-квартира EMC находится в городе Хопкинтон, штат Массачусетс (США).

Автор: SLY_G

Источник ^[7]