中国VPN服务商“兵马俑”入侵世界各地Windows服务器作为VPN节点

中国VPN服务商“兵马俑”入侵世界各地Windows服务器作为VPN节点

RSA安全研究人员最新发现,中国一个名为“兵马俑”的VPN服务商入侵了世界各地的Windows服务器,然后将其改造为VPN节点用于APT攻击组织Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)的网络间谍活动。

兵马俑VPN

“兵马俑”是中国的一个VPN服务商,在全球有1500多个节点,绝大部分位于中国、韩国、美国和东欧。有意思的是,这些VPN节点大多是由被黑客入侵的Windows服务器搭建而成。这些服务器的主人大多是小型公司和机构,因为小公司没有专门的安全人员进行维护,因而惨为“肉鸡”。

“兵马俑”VPN以不同的名义将这些节点出售给中国用户,同时RSA研究员还惊奇的发现,某些中国APT攻击组织如Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)也曾利用“兵马俑”VPN网络发动网络间谍活动。

我们已经在“兵马俑”网络上检测到了相当一部分流量。他们用VPN的目的是对其网络匿名,模糊地理位置。

2013年美国劳工部入侵事件就和深渊熊猫有关。

技术分析

调查研究发现,攻击者发现目标windows服务器后,会使用暴力破解的方式获得管理员的账号密码并登陆服务器,关闭windows防火墙。接下来攻击者会关闭服务器上所有的反恶意程序软件,安装一个远程访问木马(远控程序)。部署好上述几步之后,攻击者会创建一个新的账户,安装VPN服务。

此时被黑的“肉鸡”服务器会成为“兵马俑”VPN网络的一部分,这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。

“所有这些被入侵的系统使用的都是windows服务器。RSA研究员怀疑“兵马俑”之所以会选择windows服务器,是因为该平台很容易配置。并且受害者往往都是一些小型的公司或者机构,因为大公司会配有专门的安全人员,不容易入侵成功。”

* 参考来源:threatpost,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

1 comment on “中国VPN服务商“兵马俑”入侵世界各地Windows服务器作为VPN节点

  1. 绿莲花

    小成本大制作,实现原理没什么技术难度,在很多客户的应急中也会发现公网的Windows主机3389端口暴力破解日志很常见,持续几月的日志,估计也是这种产业自动化工具造成的。之前安全圈有篇文章是说黑色产业链里面是如何盈利的,其中一种就是采用这种简单技术,重复劳动,积少成多的方式,构成强大的僵尸网络,不怕黑客有技术,就怕黑客有耐心啊,不爆破出来不罢手。

发表评论