Новости

О вредоносной VPN-сети «Terracotta»

07.09.2015
О вредоносной VPN-сети «Terracotta»
В августе 2015 г. компания «RSA» опубликовала отчет, посвященный виртуальной частной сети (Virtual Private Network, VPN), получившей название «Terracotta», которая активно используется группировками «Shell Crew» (именуемой также «Deep Panda») при проведении целенаправленных компьютерных атак в отношении западных правительственных учреждений и коммерческих организаций.

Согласно отчету, VPN-сеть «Terracotta» имеет китайское происхождение и представляет собой коммерческий сервис, предоставляемый различными китайскими провайдерами. Стоит отметить, что в Китае VPN-сети востребованы в качестве средства анонимизации и преодоления правительственной интернет-цензуры (т. н. «великого китайского фаервола»).

Компоненты VPN «Terracotta»:
  • веб-сайты, с помощью которых реализуется необходимое программное обеспечение (ПО); клиентское ПО;
  • программы аутентификации пользователя;
  • узлы VPN-сети (насчитывается более 1500 узлов по всему миру, их список актуализируется после каждой процедуры аутентификации);
  • Internet Authentication Service (IAS), с помощью которого верифицируются пользовательские учетные данные при соединении с узлом VPN.
VPN-сеть «Terracotta» частично состоит из серверов, которые были законно приобретены или арендованы (исследователи компании выявили 3 подобных сервера, обслуживающие 557 IP-адресов), а также из скомпрометированных компьютерных систем. Все сервера, включенные в VPN-сеть «Terracotta», работали под управлением операционной системы (ОС) Windows и были недостаточно защищены – имели подключение к сети Интернет без использования аппаратных средств сетевой защиты (межсетевого экрана). Кроме того, по мнению исследователей, использование серверов с ОС Windows связано с тем, что на них можно быстро (за несколько секунд) настроить требуемые параметры организации VPN-сети.

В общей сложности исследователи компании «RSA» насчитали более 300 организаций, чьи сервера стали частью VPN-сети «Terracotta», в том числе: департамент транспорта США, крупная сеть отелей, а также образовательные учреждения разных стран, компании в сфере информационных технологий и др.

Из 1500 узлов, ставших частью VPN-сети «Terracotta», минимум 52 использовались при проведении целевых компьютерных атак в отношении западных правительственных учреждений и коммерческих организаций, а с IP-адресов 27 серверов осуществлялась отправка фишинговых писем целевым пользователям. Письма содержали встроенный инструмент скрытного сбора информации, известный под названием «web bug», представленный в виде ссылки на поддельную страницу «YAHOO!», где пользователю предлагалось ввести свои аутентификационные данные.

Для того чтобы устройства пользователей не стали частью VPN-сети «Terracotta», эксперты компании «RSA» рекомендуют придерживаться следующих мер:
  1. Осуществлять блокировку порта 135 на маршрутизаторе и/или межсетевом экране.
  2. Переименовывать учетные записи «Администратор» на всех системах Windows и присваивать им уникальные имена, состоящие из буквенно-цифровых символов.
  3. Использовать надежные пароли (15 знаков, включая буквы, цифры и специальные символы) и осуществлять их регулярную смену.