RSA安全研究人員最新發(fā)現(xiàn)，中國一個名為“兵馬俑”的VPN服務商入侵了世界各地的Windows服務器，然后將其改造為VPN節(jié)點用于APT攻擊組織Deep Panda(深淵熊貓)和Shell_Crew(Shell戰(zhàn)隊)的網(wǎng)絡間諜活動。

[[144565]]

兵馬俑VPN

“兵馬俑”是中國的一個VPN服務商，在全球有1500多個節(jié)點，絕大部分位于中國、韓國、美國和東歐。有意思的是，這些VPN節(jié)點大多是由被黑客入侵的Windows服務器搭建而成。這些服務器的主人大多是小型公司和機構，因為小公司沒有專門的安全人員進行維護，因而慘為“肉雞”。

“兵馬俑”VPN以不同的名義將這些節(jié)點出售給中國用戶，同時RSA研究員還驚奇的發(fā)現(xiàn)，某些中國APT攻擊組織如Deep Panda(深淵熊貓)和Shell_Crew(Shell戰(zhàn)隊)也曾利用“兵馬俑”VPN網(wǎng)絡發(fā)動網(wǎng)絡間諜活動。

我們已經(jīng)在“兵馬俑”網(wǎng)絡上檢測到了相當一部分流量。他們用VPN的目的是對其網(wǎng)絡匿名，模糊地理位置。

2013年美國勞工部入侵事件就和深淵熊貓有關。

技術分析

調查研究發(fā)現(xiàn)，攻擊者發(fā)現(xiàn)目標windows服務器后，會使用暴力破解的方式獲得管理員的賬號密碼并登陸服務器，關閉windows防火墻。接下來攻擊者會關閉服務器上所有的反惡意程序軟件，安裝一個遠程訪問木馬(遠控程序)。部署好上述幾步之后，攻擊者會創(chuàng)建一個新的賬戶，安裝VPN服務。

此時被黑的“肉雞”服務器會成為“兵馬俑”VPN網(wǎng)絡的一部分，這些被黑的大多屬于法律機構、大型工程公司、科技公司、學校、政府機構。

“所有這些被入侵的系統(tǒng)使用的都是windows服務器。RSA研究員懷疑“兵馬俑”之所以會選擇windows服務器，是因為該平臺很容易配置。并且受害者往往都是一些小型的公司或者機構，因為大公司會配有專門的安全人員，不容易入侵成功。”