VPN服务商“兵马俑”入侵Windows服务器作为VPN节点

安全
RSA安全研究人员最新发现,中国一个名为“兵马俑”的VPN服务商入侵了世界各地的Windows服务器,然后将其改造为VPN节点用于APT攻击组织Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)的网络间谍活动

RSA安全研究人员最新发现,中国一个名为“兵马俑”的VPN服务商入侵了世界各地的Windows服务器,然后将其改造为VPN节点用于APT攻击组织Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)的网络间谍活动。

[[144565]]

兵马俑VPN

“兵马俑”是中国的一个VPN服务商,在全球有1500多个节点,绝大部分位于中国、韩国、美国和东欧。有意思的是,这些VPN节点大多是由被黑客入侵的Windows服务器搭建而成。这些服务器的主人大多是小型公司和机构,因为小公司没有专门的安全人员进行维护,因而惨为“肉鸡”。

“兵马俑”VPN以不同的名义将这些节点出售给中国用户,同时RSA研究员还惊奇的发现,某些中国APT攻击组织如Deep Panda(深渊熊猫)和Shell_Crew(Shell战队)也曾利用“兵马俑”VPN网络发动网络间谍活动。

我们已经在“兵马俑”网络上检测到了相当一部分流量。他们用VPN的目的是对其网络匿名,模糊地理位置。

2013年美国劳工部入侵事件就和深渊熊猫有关。

技术分析

调查研究发现,攻击者发现目标windows服务器后,会使用暴力破解的方式获得管理员的账号密码并登陆服务器,关闭windows防火墙。接下来攻击者会关闭服务器上所有的反恶意程序软件,安装一个远程访问木马(远控程序)。部署好上述几步之后,攻击者会创建一个新的账户,安装VPN服务。

此时被黑的“肉鸡”服务器会成为“兵马俑”VPN网络的一部分,这些被黑的大多属于法律机构、大型工程公司、科技公司、学校、政府机构。

“所有这些被入侵的系统使用的都是windows服务器。RSA研究员怀疑“兵马俑”之所以会选择windows服务器,是因为该平台很容易配置。并且受害者往往都是一些小型的公司或者机构,因为大公司会配有专门的安全人员,不容易入侵成功。”

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2011-08-02 16:17:00

2010-07-29 10:54:21

VPN设置

2010-01-04 15:19:52

2015-07-06 14:35:15

2009-12-31 14:10:23

2024-01-04 12:33:17

ChatGPTAI视频

2009-12-29 11:03:28

VPN服务器故障

2009-12-21 14:48:20

2009-12-29 16:25:51

VPN服务器配置

2010-08-17 10:48:36

2011-08-02 15:26:34

VPN服务器远程访问策略

2009-03-04 06:21:00

2010-08-05 09:15:04

路由器配置

2022-07-26 15:51:05

AI技术

2009-04-05 13:20:22

2011-03-15 17:05:30

2009-02-27 13:12:00

2009-04-03 14:13:49

Win2008微软 操作系统

2009-07-02 17:17:03

2011-03-15 17:17:54

点赞
收藏

51CTO技术栈公众号