RSA安全研究人員最新發(fā)現(xiàn)，中國(guó)一個(gè)名為“兵馬俑”的VPN服務(wù)商入侵了世界各地的Windows服務(wù)器，然后將其改造為VPN節(jié)點(diǎn)用于APT攻擊組織Deep Panda(深淵熊貓)和Shell_Crew(Shell戰(zhàn)隊(duì))的網(wǎng)絡(luò)間諜活動(dòng)。

[[144565]]

兵馬俑VPN

“兵馬俑”是中國(guó)的一個(gè)VPN服務(wù)商，在全球有1500多個(gè)節(jié)點(diǎn)，絕大部分位于中國(guó)、韓國(guó)、美國(guó)和東歐。有意思的是，這些VPN節(jié)點(diǎn)大多是由被黑客入侵的Windows服務(wù)器搭建而成。這些服務(wù)器的主人大多是小型公司和機(jī)構(gòu)，因?yàn)樾」緵](méi)有專(zhuān)門(mén)的安全人員進(jìn)行維護(hù)，因而慘為“肉雞”。

“兵馬俑”VPN以不同的名義將這些節(jié)點(diǎn)出售給中國(guó)用戶，同時(shí)RSA研究員還驚奇的發(fā)現(xiàn)，某些中國(guó)APT攻擊組織如Deep Panda(深淵熊貓)和Shell_Crew(Shell戰(zhàn)隊(duì))也曾利用“兵馬俑”VPN網(wǎng)絡(luò)發(fā)動(dòng)網(wǎng)絡(luò)間諜活動(dòng)。

我們已經(jīng)在“兵馬俑”網(wǎng)絡(luò)上檢測(cè)到了相當(dāng)一部分流量。他們用VPN的目的是對(duì)其網(wǎng)絡(luò)匿名，模糊地理位置。

2013年美國(guó)勞工部入侵事件就和深淵熊貓有關(guān)。

技術(shù)分析

調(diào)查研究發(fā)現(xiàn)，攻擊者發(fā)現(xiàn)目標(biāo)windows服務(wù)器后，會(huì)使用暴力破解的方式獲得管理員的賬號(hào)密碼并登陸服務(wù)器，關(guān)閉windows防火墻。接下來(lái)攻擊者會(huì)關(guān)閉服務(wù)器上所有的反惡意程序軟件，安裝一個(gè)遠(yuǎn)程訪問(wèn)木馬(遠(yuǎn)控程序)。部署好上述幾步之后，攻擊者會(huì)創(chuàng)建一個(gè)新的賬戶，安裝VPN服務(wù)。

此時(shí)被黑的“肉雞”服務(wù)器會(huì)成為“兵馬俑”VPN網(wǎng)絡(luò)的一部分，這些被黑的大多屬于法律機(jī)構(gòu)、大型工程公司、科技公司、學(xué)校、政府機(jī)構(gòu)。

“所有這些被入侵的系統(tǒng)使用的都是windows服務(wù)器。RSA研究員懷疑“兵馬俑”之所以會(huì)選擇windows服務(wù)器，是因?yàn)樵撈脚_(tái)很容易配置。并且受害者往往都是一些小型的公司或者機(jī)構(gòu)，因?yàn)榇蠊緯?huì)配有專(zhuān)門(mén)的安全人員，不容易入侵成功。”