RSA研究人员已经发现了一个基于中国的VPN网络被称为兵虫,广泛用于推出高级持久威胁(APT)攻击以及毫无戒心的组织的劫持服务器,以便为其网络添加新节点。
Terracotta VPN提供了一些基础设施,这些基础设施为中国的公众提供商业营销的匿名VPN服务简报今天在黑帽会议上交付。
这些服务被推动为个人隐藏他们的互联网活动从撬政府眼中隐藏他们的互联网活动,但也被犯罪分子剥夺了他们攻击的起源,RSA研究人员将告诉会议。
研究人员说,攻击者通过购买同样的VPN基础设施的访问权来掩盖他们的恶意流量,使其看起来似乎来自享有良好声誉的合法IP地址。他们有良好的声誉,因为Terracotta攻击和损害由合法企业运行的防御薄弱的Web服务器,然后将它们用于自己的目的,通常受害者不知道他们的设备正在被滥用。
研究人员说,在这里为企业提供两份大课程。首先,插入可以重旗的威胁情报服务是必须重旗的威胁情报服务,以便快速阻止可能来自它们的攻击。
其次,甚至没有认为他们的数据值得吸引攻击者的组织应该做基础,以保护他们的基础设施,所以罪犯不会征用非法目的。RSA肯特·斯托曼(RSA的肯特队)陶洛塔介绍的主要研究人员表示,辩护承包商正在从合法的业务劫持的兵马俑节点中发起了危机节点。
他说,一个包机学校,其Web服务器陷入困境的Web服务器ortacotta被妥协为推出APTS的跳跃节点。学校的IT人员没有意识到它受到了损害。
贝克曼说,工作人员意识到服务器的性能变慢了,于是准备把网络带宽增加五倍,以便加快速度。RSA团队告诉学校这个妥协方案并进行了清理,额外的带宽就不再需要了。
那所学校的网络服务器连接了5万个IP地址,其中98%来自中国。
RSA进入兵马俑时,客户发现一个特洛伊木马被用来在通过高级持续威胁击中的网络中回收立足点。特洛伊木马被隔绝,观看了八个月,研究人员看到攻击者从一个节点控制他们后来发现的节点是广泛的兵科省VPN。
好消息是RSA已经通知了很多网络服务器被Terracotta入侵的美国受害者,这些服务器已经被清除,以至于现在Terracotta从美国的合法供应商那里购买节点。显然,VPN背后的人还不能截获足够多的新节点来弥补RSA帮助回收的节点,贝克曼说。
所有坐在外部硬件防火墙上的所有服务器都没有在它们上运行Windows防火墙。攻击者还发现了对公司主要业务线条的外围设备的机器,并不受其他资源保护。例如,大型酒店连锁店在其开发系统中拥有服务器,因为它们不是链条的常规监测计划的一部分,并且他说这一点并不重要。
RSA属于赤土陶器的大部分恶意活动,以便在中国的群体中群体,可以通过他们用来植入高级持续威胁的共同策略来确定。他说,这是他第一次看到这些特定群体,包括称为壳牌船员/深熊猫,支付使用商业上可用的VPN作为恶意软件的送货机制。
