Phát hiện nhóm tin tặc APT ẩn nấp đằng sau dịch vụ VPN Trung Quốc

Các chuyên gia bảo mật đến từ RSA Security đã thực hiện phân tích chuyên sâu về một nhà cung cấp dịch vụ VPN có những hành vi bất thường: xâm nhập máy chủ Windows trên khắp thế giới thông qua VPN node trong mạng, sử dụng như một phương thức che dấu của tin tặc APT.

Nhà cung cấp dịch vụ VPN được RSA gọi dưới tên Terracotta, sử dụng nhiều tên khác nhau trong thị trường Trung Quốc. Công ty này có một vài node hợp pháp trong mạng VPN của mình nhưng hầu hết trong số chúng dùng để tấn công máy chủ Windows. Mục tiêu tấn công thường là các doanh nghiệp tổ chức nhỏ không có đội ngũ chuyên viên bảo mật hoặc máy chủ của tổ chức lớn có lỗ hổng khai thác. Máy chủ bị xâm nhập hầu hết tại Trung Quốc, Triều Tiên, Mỹ và một vài quốc gia Đông Âu.

Mạng VPN Terracotta cung cấp dịch vụ ẩn danh, chia sẻ file peer-to-peer (P2P), tăng tốc và vượt hệ thống kiểm duyệt Great Firewall của cơ quan chức năng Trung Quốc. Ngoài khách hàng thông thường, một vài nhóm tin tặc APT cũng sử dụng VPN này nhằm che dấu hành vi của mình.

Chưa rõ Terracotta có thực sự liên kết với những nhóm APT không nhưng hầu hết các máy chủ sử dụng dịch vụ này đều đã bị xâm nhập. Trong một cuộc tấn công điển hình, tin tặc sẽ tìm máy chủ Windows, sử dụng brute-force để bẻ khóa mật khẩu quản trị viên và truy cập và hệ thống, sau đó vô hiệu hóa tường lửa. Tin tặc tiếp tục vô hiệu hóa bất kì phần mềm diệt malware chạy trên máy chủ và cài đặt một Trojan điều khiển từ xa.

Các tổ chức có máy chủ bị xâm nhập bao gồm các công ty luật, một vài công ty kỹ thuật công nghệ cao, trường học và tổ chức chính phủ. Bạn có thể đọc chi tiết báo cáo của RSA tại đây.

threatpost