中国VPN服务商“兵马俑”入侵世界各地Windows服务器作为VPN节点 - APT防御产品

中国VPN服务商“兵马俑”入侵世界各地Windows服务器作为VPN节点

RSA安全研究人员最新发现,中国一个名为“兵马俑”的VPN服务商入侵了世界各地的Windows服务器,然后将其改造为VPN节点用于APT攻击组织Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)的网络间谍活动。

兵马俑VPN

“兵马俑”是中国的一个VPN服务商,在全球有1500多个节点,绝大部分位于中国、韩国、美国和东欧。有意思的是,这些VPN节点大多是由被黑客 入侵的Windows服务器搭建而成。这些服务器的主人大多是小型公司和机构,因为小公司没有专门的安全人员进行维护,因而惨为“肉鸡”。

“兵马俑”VPN以不同的名义将这些节点出售给中国用户,同时RSA研究员还惊奇的发现,某些中国APT攻击组织如Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)也曾利用“兵马俑”VPN网络发动网络间谍活动。

我们已经在“兵马俑”网络上检测到了相当一部分流量。他们用VPN的目的是对其网络匿名,模糊地理位置。

2013年美国劳工部入侵事件就和深渊熊猫有关。

技术分析

调查研究发现,攻击者发现目标windows服务器后,会使用暴力破解的方式获得管理员的账号密码并登陆服务器,关闭windows防火墙。接下来 攻击者会关闭服务器上所有的反恶意程序软件,安装一个远程访问木马(远控程序)。部署好上述几步之后,攻击者会创建一个新的账户,安装VPN服务。

此时被黑的“肉鸡”服务器会成为“兵马俑”VPN网络的一部分,这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。

“所有这些被入侵的系统使用的都是windows服务器。RSA研究员怀疑“兵马俑”之所以会选择windows服务器,是因为该平台很容易配置。并且受害者往往都是一些小型的公司或者机构,因为大公司会配有专门的安全人员,不容易入侵成功。”


转载请注明出处 APT防御产品 » 中国VPN服务商“兵马俑”入侵世界各地Windows服务器作为VPN节点

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址